被兒童智能手錶泄露信息的經歷

概述

兒童智能手錶可以幫助監控兒童的周邊環境,但如果被黑客利用,那麼孩子身邊的家長也成了被監控的對象。

試想你在卧室里給兒童智能手錶充一晚上的電,有一些陌生人隨時能監聽卧室的聲音,還能拍照、定位,恐不恐怖、刺不刺激?

起因

孩子上小學後,基本都是家長接送,現在想讓他自己來回家裡和學校。

為安全起見,能及時聯繫到孩子,所以就盤算著給孩子買個兒童智能手錶。

市面上的兒童智能手錶,功能都比較齊全:

  • 能打電話
  • 能語音聊天
  • 能實時定位
  • 能自動撥通電話
  • 能查看接收的簡訊
  • 能自動拍照
  • 能設置通訊錄白名單

經過

購買手錶(3月23日)

只要能打電話就基本能滿足我們的需求了,又用不了多久,就選了一款價格偏低的。

在京東上根據銷量和評價買了一款【小尋 A2】兒童智能手錶。

訂單截圖

開始使用,體驗還是挺好的:

  • 款式和功能孩子挺喜歡
  • 有運動記錄
  • 能打電話
  • 能發語音
  • 屏蔽陌生人電話、隱藏陌生人簡訊
  • 家長可以查看簡訊,也就可以查詢電話費

發現異常簡訊(4月13日)

莫名有一條京東賬號註冊簡訊,包含驗證碼。緊接著又來幾條京東的訂單簡訊

異常簡訊截圖

京東消費記錄(4月14日)

為了排除是不是收到其他人的簡訊,我就用手錶的卡號登錄京東,登錄成功了!

能看到這些訂單信息:

還綁了銀行卡

銀行卡綁的是「劉青青」,收貨人是「馬露」,我們均不認識。

我們所在的城市是貴州貴陽,而收件貨城市是廣東東莞,根本不相關。

這時我確認:手錶手機號的簡訊內容被別人監視了!

應急措施。為避免損失查清問題(4月16日)

  • 修改京東密碼,終止繼續交易
  • 申請退貨,終止繼續交易
  • 取下手錶電話卡,物理斷網
  • 聯繫京東小尋代理商客服

溝通記錄,京東小尋代理商客服

小尋客服回復

沒有證據,我也沒辦法確定就是小尋服務的問題

想著我已經拔卡斷網,如果是小尋的問題,攻擊者就不可能再登錄這個被非法註冊的京東號。

發現京東賬號不能登錄(4月17日)

第二天早上,我嘗試登錄該京東號,發現賬號密碼錯誤!

這時我開始懷疑:中國移動在某個環節泄露了簡訊。卡都拔了,這個賬號怎麼可能在京東被修改了密碼?

所以我就去了上號的中國移動營業廳

問題排查(4月17日)中國移動營業廳

客服經理回復:

  • 不存在一號多卡的問題
  • 現在也不提供網上查看簡訊的服務
  • 請聯繫京東客服排查

手機解除驗證

京東客服回復:

有人通過其他手機解除了驗證,對方謊稱:之前註冊的手機號停機

京東並沒有核實手機號是否停機,根據對方提供的訂單信息就做了解除驗證的操作。剛註冊的手機號不到三天就解除驗證,難道京東的客服不覺得是疑點?

難怪我早上登錄不上去了。

分析

到底誰泄露了信息

攻擊者獲取簡訊內容的渠道

簡訊內容只可能從三個地方泄露

  1. 中國移動
  2. 京東
  3. 小尋服務

拔了卡,對方不能登錄京東賬號,那麼可以排除中國移動和京東。

那麼剩下嫌疑最大的就只有小尋提供的服務。

為了安全,其實帶來更大的隱患

  • 自動撥通電話,偷聽環境聲音
  • 自動拍照
  • 查看簡訊,綁定賬號

攻擊者的目的

  • 獲取賬號首次註冊的優惠
  • 給商家刷單,刷好評
  • 盜刷別人的銀行卡,不留下自己的線索

行業思考

兒童智能手錶確實可以幫助家長聯繫到孩子,比帶手機要方便。

但安全隱私問題不得不重視,因為手錶不光是和孩子在一起,也會和家庭成員在一起。

孩子被監控的同時,家長也可能被監控。

我覺得應該加入以下行業規則

  • 不轉發簡訊
  • 不轉發通話記錄
  • 不能自動撥通電話

家長的 APP 只能控制:手錶能否查看簡訊。即:要看簡訊內容只能在手錶上看。

兒童智能手錶,再見

參考文檔

德國禁止兒童手錶:行業混亂無序是原罪


推薦閱讀:

我是怎麼讓女兒愛上閱讀的?
牛聽聽 | 從抵觸到著迷,學音樂原來這麼有趣!
家庭教育:為什麼中國人養孩子那麼累?7大原因,你中了幾個?
為什麼有的小孩不怕生,而有的小孩一見陌生人就哭?
捫心自問:我們真的是想要懲罰孩子嗎?

TAG:智能手錶 | 信息安全 | 兒童教育 |