鉴定由头

班里近半小学生都买了电话手表

当下的各款儿童电话手表的功能不少，不仅能打电话、发微信，还有实时定位以及监听功能。使用起来也很简单，买一张电话卡放入智能手表，然后通过手机下载一个跟手表匹配的APP之后，家长的手机和孩子的智能手表就可实现绑定。目前，这种儿童电话手表卖得挺火。广州市很多小学的班级里，几乎有一半学生都购买了不同款的儿童电话手表。

“目前国家对于儿童电话手表等智能穿戴设备还没有统一的规范，这类产品在信息安全方面的质量参差不齐”。工业和信息化部电子第五研究所赛宝质量安全检测中心信息安全工程师李乐言说，从去年开始，就陆续有白帽黑客在国内安全平台乌云上，曝光了儿童安全手表的相关漏洞，漏洞的主要根源在厂家的服务器上。“现在的儿童智能手机所有信息其实都在后台服务器上，攻击者可利用漏洞查询智能手表连接的服务器，就可以查看到客户信息，并根据相应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音等隐私内容。”

后台服务器是漏洞根源验证码输入次数无限制

鉴定君随即登录了这一网站，通过搜索引擎，就可以轻松搜索到不少儿童电话手表品牌存在安全漏洞的信息，其中包括任意用户密码重置、无登录防控等诸多方面。“用户密码任意重置，就是说以忘记密码的方式，重置你的密码，这样你的用户号码完全就可以变成我的。”李乐言说，不少儿童电话手表品牌并没有对验证码的输入次数进行限制，任何人都可以进行无限次的输入。“四位数的验证码，最多只需要电脑输入9万多次，就能试出来，一旦试出来，就可以进行密码重置了。”此外，用户在进行登录时，后台服务器也并没有一个登录防控功能，只是单向认证。“黑客在十分钟内就能试出100多个密码来。”

“其实修补安全漏洞的技术门槛并不高，只要有一些网络开发经验的研发人员就能做到。只要生产方重视，避免这样的安全漏洞是可以实现的。”李乐言表示，但从目前来看，国家并没有在网络安全这块设置详细的标准要求，如果厂商仅仅重视用户体验来抢占市场、而忽略了产品的安全设计和开发，增加的网络控制功能就可能成为恶意攻击者利用的通道，泄露个人信息在所难免。

鉴定实录

获得ID号后监听、定位、改通讯录电脑上几分钟就能搞定