登录 注册 上观新闻
当前的位置>>涨姿势>>从“父母帮手”变成“人贩子帮手”,儿童智能手表的“两张面孔”吓坏父母
从“父母帮手”变成“人贩子帮手”,儿童智能手表的“两张面孔”吓坏父母
发布时间: 2017-12-03 06:53:22
作者: 科技日报微信号
“有些厂商为了产品尽早上市占领市场,缺乏足够的设计、开发、测试时间,导致漏洞百出,也有些厂商获知白帽黑客提交的漏洞细节后,没有采取任何补救措施,任由漏洞存在”,孙浩也曾有此表示。

“小孩儿没有一块智能手表,出门都没办法社交。”

 

这句“亲妈的吐槽”出现在年中的GeekPwn大赛香港站上,这位年轻的妈妈刚给小孩买了一块价值九百块的知名品牌智能手表,但看到接下来发生的一幕,她懵了:“我的钱是不是打水漂了?”

 

来自百度安全的“小灰灰”在几分钟时间内成功获得儿童手表的地理位置信息并对信息进行了修改,还扮演“坏叔叔”的角色呼叫儿童手表,手表上赫然显示“爸爸来电”。

 

本来是帮助远程监护儿童的“父母帮手”,一下变成“人贩子帮手”,儿童智能手表的两张面孔吓倒在场爹妈。

 

接着,突然工作的烤箱、半夜拉开的自动窗帘……眼看着自家添置的智能家居“不听话”了,现场彻底不淡定了:一个越来越智能的家,安全吗?

 

安全和隐私

 

无独有偶。据BBC报道,近日,德国联邦网络局对本国市场的儿童智能手表销售下了禁令,理由是手表涉及“监听”。

 

“这不是噱头。”面对科技日报记者对这则新闻的疑问,杨坤给出直截了当的答复。身为长亭科技首席安全研究员及联合创始人,他是中国人参加世界顶级黑客大赛最好成绩的创造者,是国内安全领域大神级的人物。

 

“首先是安全问题,智能手表可以追踪小孩的位置,这些位置信息上传到家长的手机APP时,传输应用层没有加密,如果攻击者在小孩的周围截获这个通讯的话,他就能知道小孩的位置,甚至上传一个假的位置给家长,给孩子安全带来隐患。”杨坤进一步解释,他说同样场景的攻击在国内一些安全竞赛上曾有出现,攻击者轻易就可以攻陷智能手表。

 

“第二是这些儿童手表普遍有录音功能。”杨坤说。“有些家长想听听小孩的周围环境,但德国法律明令禁止未经别人同意的情况下进行录音的行为,比如如果幼儿园老师在跟小孩说话,他不知道手表在录音,这就是违法的。”

 

“从父母的角度来看,虐童消息多发,想要时时关注小孩的动态是有必要的。但是国内很多安全手表没有监管,没有统一标准。各个厂家按照自己的想法和大人的需求来设计,还是存在隐私和安全的问题。”杨坤表示。

 

360儿童手表产品总监孙浩曾在接受媒体采访时表示“儿童手表相对手机、电脑更安全”。其给出的理由是儿童手表功能相对单一,没有浏览器、第三方应用,也屏蔽了短信、彩信等功能,通话上有白名单机制,不会像手机和电脑那样受到钓鱼网站、恶意软件、诈骗电话和短信的威胁。

 

对此,杨坤表示对方是从攻击面的角度来说的——因为功能局限,所以攻击面少一些,因此安全性更好。“但是从产品设计、代码实现角度来说,智能手表应该不如久经考验的手机和电脑更安全。”杨坤说。

 

“相当于十多年前PC的安全性”

 

“特别特别低,相当于十多年前PC的安全性。”当被问到现在市场上的智能家居产品的安全性时,杨坤这样说。“现在要挖一个Windows漏洞是需要很高技术水平的,但十多年前的Windows千疮百孔漏洞百出。眼下智能设备就是十年多前PC的水平,不需要多厉害的技术,很容易就能挖出一堆漏洞。”

 

“我们参加GeekPwn大赛,一个月就能破解十款路由器、九款摄像头,比较脆弱的一天就能找到漏洞,难一点的一周也可以。”杨坤说。

 

GeekPwn大赛是黑客界的顶级赛事,全球各地的技术极客汇聚一堂,在不受场景和目标限定的前提下,进行淋漓尽致的技术攻防赛。

 

随着智能生活概念的落地,GeekPwn也在向数量广泛、名目众多的智能家居设备倾斜。今年的极棒大赛中,打印机、智能穿戴、摄像头、POS机、智能手表、智能门锁、共享单车、平衡车等都“无一幸免”地成为白帽黑客们的破解对象。

   

共享单车变“私人单车”、平衡车失去控制、甚至家中的电饭煲被远程操控都在现场不断上演。“电饭煲、扫地机器人这种可能黑客控制了也没什么意义,但比较危险的像路由器、摄像头,攻击者可以暴露你的隐私。还有一些权限很高的设备,比如智能音箱,被攻击了会更危险。”杨坤说。

 

据他介绍,今年曾发生地下黑色产业兜售摄像头偷窥软件的案件,有心人花几百块钱就能从特定渠道购买软件,随意看公共或私人摄像头,给公众隐私造成很大威胁。

 

“第二个层面是僵尸网络的危害。如果黑客能够大批量控制智能家居设备,就会利用僵尸网络对某一目标做网络攻击。”杨坤说。

 

“现在智能家居设备爆发式增长,比电脑总量多得多。对攻击者来说,这些设备数量多、权限高、防护差,可以用来组建僵尸网络。” 比如去年爆发的Mirai病毒,它可以攻击家中一切通过路由、网关等联网的设备,甚至包括门窗、灯泡等,“中枪”设备无数。这些被感染的智能设备都是僵尸网络的节点,成为攻击者实施攻击行为的“打手”。

 

“安全尚无强制标准”

 

怎么办——看到这里,所有人都会有此一问。

 

“对用户来说,能做的其实有限。”杨坤坦言。“目前来看,出事的主要是弱密码。用户要有改密码的习惯,换掉默认密码,使用强密码。”

 

用户在选购智能设备时,最好选择大厂产品。“很多小厂不具备研发能力,大品牌虽然也无法保证没有漏洞,但健全升级方案更完善,能在出现漏洞时及时打补丁,进行有效防护。”杨坤解释道。

 

另外,用户接入公共网络时也要多加小心,公共空间的开放网络风险更高。

 

“安全问题的解决主要靠企业。”杨坤说。“相对来说,企业更愿意在自身的安全方面花钱,一两个客户被攻击对其没有影响,自然不愿买单。”而且目前市场上的智能设备厂商更多是初创企业,巨头涉及比较少,且还没有哪家企业垄断这个行业。

 

竞争面前,大家要拼成本。明显会增加成本的安全成为 “房间里的大象”,被有意无意忽略。

 

“有些厂商为了产品尽早上市占领市场,缺乏足够的设计、开发、测试时间,导致漏洞百出,也有些厂商获知白帽黑客提交的漏洞细节后,没有采取任何补救措施,任由漏洞存在”,孙浩也曾有此表示。

 

要改变这种现状,需要在国家层面推动标准的制定——这是杨坤给出的“最终方案”。“质量标准有各种机构去做认证,测试功能和稳定性。但安全没有强制性标准,基本都是各家单位自己出的,全看厂商意愿。如果未来能推出一个设计合理的强制性标准,就能把一些粗制滥造、在安全上做得不好的产品淘汰掉。”杨坤说。

   

但他也表示,这并不容易。“与传统的质量标准相比,安全的标准制定起来更难。网络攻防是博弈的过程,不管花多大代价,都无法保证完全消灭漏洞,总有技术更高的人能看到你看不到的东西。因此,要尽可能提高攻击成本。”杨坤强调。


1472967151974660.jpg

本文来源:上观新闻 图片来源:视觉中国

分享至
(0) (0)
上海辟谣 版权所有 所有文章均为上海观察所有 不得转载 保留所有版权

评论

网友评论

解放日报·上观新闻 出品
上海市互联网信息办公室 监制
 
辟谣联盟
注册
手机号码

密       码

至少包含字母大小写和数字,最短6位字符,最长18位,区分大小写。

确认密码

验  证  码

阅读并接受《用户协议》
找回密码
手机号码

验  证  码

新  密  码

至少包含字母大小写和数字,最短6位字符,最长18位,区分大小写。

登录
账   号:

密   码:

验证码:

忘记密码?