兒童定位手錶是個好創意,不僅可以打電話,還可以定位,家長可實時掌握孩子的位置和行走路線,可以監聽孩子周圍的聲音,而且還有SOS緊急求救按鈕,這令家長很安心。現在兒童定位手錶市場很熱,引起了媒體的高度關注,僅央視就曾4次報道過這個行業。
1、“找娃神器”變成“窺娃鷹眼”
2016年2月23日,央視焦點訪談節目再次報道兒童定位手錶,這次的主題是黑客入侵,即黑客可能入侵兒童定位手錶廠家的服務器,從而獲取理應家長才能掌握的孩子位置、行走路線、通話語音和環境聲音,“找娃神器”變成了“窺娃鷹眼”。
我找來節目視頻逐字逐句地觀看了五遍,發現央視吸取了上次走麥城的教訓,這次請到的是靠譜專家,節目中的語言也比較嚴謹,我沒發現這期節目在技術方面有啥錯誤。但是節目也有問題,因為普通觀眾並不會像我一樣仔細關注“可能會”、“只要”的限定詞,和產品安全性“參差不齊”等措辭,容易得出“所有的兒童定位手錶都不安全”這個誤導性結論。事實上,只是某些雜牌產品有隱患,而主流產品是安全的。
為什麼有些雜牌廠家的兒童定位手錶可以令黑客侵入呢?原因非常簡單:本應做好服務器數據的加密和鑑權,廠家出於成本考慮給省略了,結果是手錶的定位信息和語音信息在網絡上裸奔,甚至讓黑客接管了家長的全部權限。
該信息安全機構的調查報告顯示,像這樣嚴重忽視信息安全的雜牌廠家居然有很多家,這令我感到震驚。其實,該安全機構做測試發現漏洞後,已經通知了相關廠家,但這些廠家並沒有改進。
2、央視為什麼不點名?
您一定會問:央視曝光過很多黑心企業,從來都手不軟啊,為什麼這次央視不點名呢?這源於一個很尷尬的現狀,那就是現在還沒有穿戴式智能電子產品的國家標準。也就是說,那些安全性一塌糊塗的雜牌兒童定位手錶,其實是通過了3C認證等現有產品標準的合格產品,指控人家產品不合格於法無據,甚至可能會被控告誹謗。
雖然該安全機構公佈了一些有安全漏洞的兒童定位手錶的廠家名,但央視在節目中並沒有引用,因為一項具有權威性的產品質量鑑定至少要明確兩個要素,一是檢測方的資質,二是所依據的國家標準。很遺憾,這家安全機構並不是國家指定的鑑定機構,檢測方法也沒有國家標準為依據,其檢測結論只供參考,不能作為政府認定的鑑定結論。
而且,產品檢驗還有個全面性的問題,被安全機構點名的雜牌廠家有問題,但這不代表未被點名的廠家就一定沒問題,有可能沒有測試到,還有可能測試發現了產品有問題,但因背後利益關係而選擇性地不公佈。
3、如何選擇安全的手錶?
啥樣的兒童定位手錶才是安全的呢?根據信息安全理論,應把握三種技術:一是加密技術,手錶與廠家服務器之間的通信應是加密的,以保證通信鏈路中的數據安全;二是認證技術,即完善鑑權機制,保證訪問孩子數據的只是能家長,而不能是外人;三是服務器具有抗攻擊技術,以防止黑客的入侵。考察兒童定位手錶的安全性,應從這三個方面來進行分析。
以小天才電話手錶為例分析。一是加密技術,手錶與服務器之間的數據加密方式分兩種,第一種是語音及數據加密,它採用RSA非對稱式加密技術,您可能對這個技術不瞭解,但告訴您這是各大銀行網銀密碼盾所採用的技術,您就會放心了吧。第二種是用戶名和密碼加密,它採用了https加密傳輸技術,以保證賬號關鍵信息不被竊取,https也是訪問網絡銀行的賬號密碼時使用的安全協議。
支付條碼是隨時間變化,而小天才的賬戶認證是按次變化的,每次的認證數據都不相同,這種“一次一密”的認證方式比較高級,它也是軍用保密手機的鑑權方式。
三是服務器抗攻擊技術,大部分核心服務器部署在阿里雲上,阿里雲有先進的防DDOS攻擊手段,小部分服務器部署在私有云上,並且設有專業防火牆和阿里雲備份方案。
另外,小天才的密碼存儲很有特色,採用的是64位加鹽hash,內行人知道這是很強的。啥是hash呢?不妨舉個例子,有兩列非常相似的數據,只有極個別的幾位不同,用同一種算法加密,您覺得所生成的兩列密碼是不是也應該有點像呢?
如果相像的話就不安全,因為規律容易被黑客推導嘛。但如果兩列非常相似的數據,即使只有一位的差異,用相同算法處理後,所生成的兩列密碼也會面目全非,這就可以避免黑客推導了。這種特性叫做雪崩,即極微小的擾動都會帶來巨大的變化。
為什麼要以小天才為案例分析呢?因為它是市場佔有率排名第一的主流產品,我跟這家的技術人員比較熟悉,一起討論過安全防護問題,也瞭解他們的技術方案。
有個觀點必須澄清,兒童定位手錶的安全性並不取決於廠家的安全技術水平有多高,而是取決於廠家準備投入多少錢。很明顯,越主流的廠家投的錢就越多,其產品就越安全。
相比之下,雜牌廠家的裸奔做法簡直無法容忍,焦點訪談節目中的安全專家也說過,這是非常低級的錯誤,稍加投入就能解決。為什麼他們敢裸奔?沒有穿戴式智能電子產品的國家標準是關鍵,雜牌廠家藉此降低成本和躲避處罰,並依靠低價分得市場份額,它們產品的售價往往只有主流產品的幾分之一,外觀看得也還不錯,的確也吸引了不少用戶。
一些用戶覺得雜牌貨的性價比高,這是他們的重大誤解。現在是互聯網時代,基於互聯網的智能電子產品的優劣,不僅取決於用戶看得到的品質和功能,更多地取決於用戶看不到的網絡安全性能。外行們看不到隱藏在背後的網絡安全性能的價值,以為自己佔了便宜,其實是吃了暗虧。
兒童定位手錶是個好東西,但在國家標準出臺之前,其安全性只能依靠廠商的自覺性,千萬甭圖便宜,一定要選擇主流產品,這是一位從事通信專業20餘年的內行人的忠告。
總結:2016年2月23日的焦點訪談節目揭露了某些兒童定位手錶存在嚴重安全缺陷,提醒我們不要圖便宜購買雜牌貨,一定要購買具有加密通信、用戶鑑權、服務器抗攻擊能力的主流商家產品,信息安全方案都是成熟可靠的,捨得為此投入的主流廠商的產品可以信賴。
閱讀更多 奧卡姆剃刀 的文章
