如今的兒童智慧手錶,硬體強大,功能貼心,實時定位、高清雙攝、人臉識別、視頻通話。孩子們覺得方便好玩,家長們可以隨時掌握孩子行蹤。
如今,不少低配版的兒童智慧手錶在各大電商平臺暢銷熱賣。3·15資訊安全實驗室對此展開了專門的測試。
這款兒童智慧手錶有著10萬+的銷售記錄。測試人員購買了一隻,交給一位小朋友佩戴。測試人員將一個惡意程式的下載二維碼偽裝成抽獎遊戲,貼在了孩子家門口。
這樣的抽獎遊戲,很容易吸引孩子掃碼體驗。就這樣,惡意程式就輕鬆進駐到了孩子的智慧手錶中。
同時,工程師已經實現了對這款手錶的遠端控制。
孩子每次抽獎,惡意程式就自動把手錶裏的重要資訊,如位置、通訊錄、通話記錄等打包實時發送出去。
玩完抽獎遊戲,孩子下樓玩耍,工程師依然可以實時定位,不間斷收集孩子的移動軌跡,輕鬆圈定孩子的活動範圍。
測試人員從後臺可以通過多次採集孩子的位置資訊來推斷,她的家離她的學校其實很近,大概兩三百米,5分鐘就能走到。
回家後,孩子和姥姥聊天。通過調用手錶裏的麥克風,身在異處的工程師對談話內容一清二楚。
飯後,孩子在書桌前做手工。孩子的一舉一動也被隨時掌握。
為什麼這種深受孩子喜愛、家長信任的兒童智慧手錶會成為一雙時刻偷窺的眼睛,如影隨形?
測試人員發現,根本原因就在於它的作業系統過於老舊。
這款手錶使用的竟然是沒有任何許可權管理要求的安卓4.4作業系統,距今已將近10年。而它的最新版本已經更新到了安卓12。
只要App申請什麼樣的許可權,安卓4.4作業系統就會給App什麼樣的許可權,也不會有任何的告知用戶和得到用戶授權同意的環節。
在如此低版本的兒童手錶上,各種App安裝後,無需用戶授權就可以拿走定位、通訊錄、麥克風、攝像頭等多種敏感許可權。這也就意味著它們能輕易獲取孩子的位置、人臉圖像、錄音等隱私資訊。
這些廠家選用低版本的作業系統是出於壓低成本的考慮。但是它忽略了用戶使用的安全性,給消費者帶來了無窮的後患。
同樣是在安卓系統的手機上,安裝App時,系統都會有明確提示:用戶是否同意授權。
現在大家非常重視手機App的監管,從技術原理上來講,手機端的很多標準要求放到智慧終端上是完全適用的。可能還是關注度不夠的問題,讓這一類智慧終端在個人資訊的保護上成為一個重災區。
3·15資訊安全實驗室也對其他低配版的兒童智慧手錶進行測試。
這款兒童智慧手錶使用的是安卓9的作業系統,看起來版本較新。
安裝App時,系統會彈窗提示是否給予某個許可權。可是,用戶一旦拒絕授權,App就會閃退,拒絕提供任何服務。
比如,測試人員打開一款叫“天氣”的應用程式。它會出現一個彈窗,索要用戶的存儲許可權。如果只查天氣,不需要存儲和讀取用戶照片,所以選擇拒絕。然後應用程式又索要撥打電話許可權,這也是一個非必要許可權,還是拒絕。再次索要定位許可權,也是一個非必要許可權,也拒絕。然後這款應用程式就馬上閃退了。
如此,消費者只有兩種選擇,要麼完全不用,要麼就拿所有的許可權去換取服務。
App的強制索權的行為危害性很大。因為用戶為了獲得服務,一旦妥協把許可權給出去,手錶裏的資訊也就交出去了。孩子的地理位置、圖片視頻、通話錄音等隱私將會被收集,孩子的安全隱患可想而知。
來源:央視財經 | 撰稿:辛文 | 責編:俞舒珺 審核:張淵
新聞投稿:184042016@qq.com 新聞熱線:13157110107
來源:央視財經 | 撰稿:辛文 | 責編:俞舒珺 審核:張淵