兒童智能手錶可以幫助監控兒童的周邊環境,但如果被黑客利用,那麼孩子身邊的家長也成了
被監控的對象。
試想你在臥室裡給兒童智能手錶充一晚上的電,有一些陌生人隨時能監聽臥室的聲音,還能拍照、定位,恐不恐怖、刺不刺激?
起因
孩子上小學後,基本都是家長接送,現在想讓他自己來回家裡和學校。
為安全起見,能及時聯繫到孩子,所以就盤算著給孩子買個兒童智能手錶。
市面上的兒童智能手錶,功能都比較齊全:
- 能打電話
- 能語音聊天
- 能實時定位
- 能自動撥通電話
- 能查看接收的短信
- 能自動拍照
- 能設置通訊錄白名單
經過
購買手錶(3月23日)
只要能打電話就基本能滿足我們的需求了,又用不了多久,就選了一款價格偏低的。
在京東上根據銷量和評價買了一款【小尋 A2】兒童智能手錶。
訂單截圖
開始使用,體驗還是挺好的:
- 款式和功能孩子挺喜歡
- 有運動記錄
- 能打電話
- 能發語音
- 屏蔽陌生人電話、隱藏陌生人短信
- 家長可以查看短信,也就可以查詢電話費
發現異常短信(4月13日)
莫名有一條京東賬號註冊短信,包含驗證碼。緊接著又來幾條京東的訂單短信
異常短信截圖
京東消費記錄(4月14日)
為了排除是不是收到其他人的短信,我就用手錶的卡號登錄京東,登錄成功了!
能看到這些訂單信息:
還綁了銀行卡
銀行卡綁的是“劉青青”,收貨人是“馬露”,我們均不認識。
我們所在的城市是貴州貴陽,而收件貨城市是廣東東莞,根本不相關。
這時我確認:手錶手機號的短信內容被別人監視了!
應急措施。為避免損失查清問題(4月16日)
- 修改京東密碼,終止繼續交易
- 申請退貨,終止繼續交易
- 取下手錶電話卡,物理斷網
- 聯繫京東小尋代理商客服
溝通記錄,京東小尋代理商客服
小尋客服回覆
沒有證據,我也沒辦法確定就是小尋服務的問題
想著我已經拔卡斷網,如果是小尋的問題,攻擊者就不可能再登錄這個被非法註冊的京東號。
發現京東賬號不能登錄(4月17日)
第二天早上,我嘗試登錄該京東號,發現賬號密碼錯誤!
這時我開始懷疑:中國移動在某個環節洩露了短信。卡都拔了,這個賬號怎麼可能在京東被修改了密碼?
所以我就去了上號的中國移動營業廳
問題排查(4月17日)中國移動營業廳
客服經理回覆:
- 不存在一號多卡的問題
- 現在也不提供網上查看短信的服務
- 請聯繫京東客服排查
手機解除驗證
京東客服回覆:
有人通過其他手機解除了驗證,對方謊稱:之前註冊的手機號停機。
京東並沒有核實手機號是否停機,根據對方提供的訂單信息就做了解除驗證的操作。剛註冊的手機號不到三天就解除驗證,難道京東的客服不覺得是疑點?
難怪我早上登錄不上去了。
分析
到底誰洩露了信息?
攻擊者獲取短信內容的渠道
短信內容只可能從三個地方洩露
- 中國移動
- 京東
- 小尋服務
拔了卡,對方不能登錄京東賬號,那麼可以排除中國移動和京東。
那麼剩下嫌疑最大的就只有小尋提供的服務。
為了安全,其實帶來更大的隱患
- 自動撥通電話,偷聽環境聲音
- 自動拍照
- 查看短信,綁定賬號
攻擊者的目的
- 獲取賬號首次註冊的優惠
- 給商家刷單,刷好評
- 盜刷別人的銀行卡,不留下自己的線索
行業思考
兒童智能手錶確實可以幫助家長聯繫到孩子,比帶手機要方便。
但安全隱私問題不得不重視,因為手錶不光是和孩子在一起,也會和家庭成員在一起。
孩子被監控的同時,家長也可能被監控。
我覺得應該加入以下行業規則
- 不轉發短信
- 不轉發通話記錄
- 不能自動撥通電話
家長的 APP 只能控制:手錶能否查看短信。即:要看短信內容只能在手錶上看。
兒童智能手錶,再見
小編不生產知識,我只是推文的搬運工(啦啦啦~)
閱讀更多 程序媛進化論 的文章
