資料來源:TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-5387-bfc26-1.html

 

資安廠商分析市場上專為兒童配戴設計的智慧手錶產品,發現多個資安與隱私漏洞;有些產品甚至會擅自收集並傳送資料,造成嚴重資安危機。

資安廠商 Dr. Web 日前發表研究報告,指出該公司旗下資安專家分析市場上多款專為兒童配戴設計的智慧手錶產品,發現多個資安與隱私漏洞;有些產品甚至會擅自收集並傳送資料,造成嚴重資安危機。

Dr. Web 檢驗了四款兒童專用智慧手錶,分別為 Elari Kidphone 4G、Wokka Lokka Q50、Elari FixiTime Lite、Smart baby Watch Q19;這些智慧手錶均採用 Android 作業系統,在俄羅斯市場十分暢銷。

Dr. Web 指出,Elari Kidphone 4G 有三個隱藏的軟體模組,每隔八小時會自動傳回多項資料到某一台中央伺服器,回傳的資料包括 SIM 卡資訊、地理座標、裝置資訊、通訊錄連絡人清單、安裝的 app 列表、簡訊數量、通話記錄等。

Dr. Web 表示,有這些隱藏的軟體模組,即可以在用戶不知情的情形下,在手錶上遠端安裝更多惡意軟體或顯示廣告,或是進行遠端監控。

另一款 Wokka Lokka Q50 由於價格便宜,僅 15 美元即可購得,因此也非常暢銷;然而 Dr. Web 的資安專家不但發現其預設密碼「123456」過於脆弱,且這款手錶同樣會把各種資料傳回到位於俄羅斯的伺服器,甚至在傳送過程中完全沒有進行加密處理,而是以明文傳送。

專家指出,由於 Wokka Lokka Q50 的資安防護近乎不存在,因此駭侵者可輕鬆發動中間人攻擊,輕易透過簡訊取得受害者的 GPS 位置座標、遠端竊聽受害者周邊的各種聲音,甚至將官方伺服器的 IP,竄改為駭侵者擁有的控制伺服器,輕鬆攔截所有資訊。

其他兩款兒童智慧手銀,亦有類似的資安問題存在,包括以明文擅自上傳各種裝置資訊,以及幾無保護力的預設密碼。

專家呼籲家長應避免採購價格過於便宜,且無法提供資安保護能力證明的兒童智慧手錶,以免包括兒童所在位置的各種資訊遭竊,反而危及兒童的資訊與人身安全。