被兒童智能手錶泄露信息的經歷
概述
兒童智能手錶可以幫助監控兒童的周邊環境,但如果被黑客利用,那麼孩子身邊的家長也成了被監控的對象。
試想你在卧室里給兒童智能手錶充一晚上的電,有一些陌生人隨時能監聽卧室的聲音,還能拍照、定位,恐不恐怖、刺不刺激?
起因
孩子上小學後,基本都是家長接送,現在想讓他自己來回家裡和學校。
為安全起見,能及時聯繫到孩子,所以就盤算著給孩子買個兒童智能手錶。
市面上的兒童智能手錶,功能都比較齊全:
- 能打電話
- 能語音聊天
- 能實時定位
- 能自動撥通電話
- 能查看接收的簡訊
- 能自動拍照
- 能設置通訊錄白名單
經過
購買手錶(3月23日)
只要能打電話就基本能滿足我們的需求了,又用不了多久,就選了一款價格偏低的。
在京東上根據銷量和評價買了一款【小尋 A2】兒童智能手錶。
開始使用,體驗還是挺好的:
- 款式和功能孩子挺喜歡
- 有運動記錄
- 能打電話
- 能發語音
- 屏蔽陌生人電話、隱藏陌生人簡訊
- 家長可以查看簡訊,也就可以查詢電話費
發現異常簡訊(4月13日)
莫名有一條京東賬號註冊簡訊,包含驗證碼。緊接著又來幾條京東的訂單簡訊
京東消費記錄(4月14日)
為了排除是不是收到其他人的簡訊,我就用手錶的卡號登錄京東,登錄成功了!
能看到這些訂單信息:
還綁了銀行卡
銀行卡綁的是「劉青青」,收貨人是「馬露」,我們均不認識。
我們所在的城市是貴州貴陽,而收件貨城市是廣東東莞,根本不相關。
這時我確認:手錶手機號的簡訊內容被別人監視了!
應急措施。為避免損失查清問題(4月16日)
- 修改京東密碼,終止繼續交易
- 申請退貨,終止繼續交易
- 取下手錶電話卡,物理斷網
- 聯繫京東小尋代理商客服
溝通記錄,京東小尋代理商客服
沒有證據,我也沒辦法確定就是小尋服務的問題
想著我已經拔卡斷網,如果是小尋的問題,攻擊者就不可能再登錄這個被非法註冊的京東號。
發現京東賬號不能登錄(4月17日)
第二天早上,我嘗試登錄該京東號,發現賬號密碼錯誤!
這時我開始懷疑:中國移動在某個環節泄露了簡訊。卡都拔了,這個賬號怎麼可能在京東被修改了密碼?
所以我就去了上號的中國移動營業廳
問題排查(4月17日)中國移動營業廳
客服經理回復:
- 不存在一號多卡的問題
- 現在也不提供網上查看簡訊的服務
- 請聯繫京東客服排查
京東客服回復:
有人通過其他手機解除了驗證,對方謊稱:之前註冊的手機號停機。
京東並沒有核實手機號是否停機,根據對方提供的訂單信息就做了解除驗證的操作。剛註冊的手機號不到三天就解除驗證,難道京東的客服不覺得是疑點?
難怪我早上登錄不上去了。
分析
到底誰泄露了信息?
簡訊內容只可能從三個地方泄露
- 中國移動
- 京東
- 小尋服務
拔了卡,對方不能登錄京東賬號,那麼可以排除中國移動和京東。
那麼剩下嫌疑最大的就只有小尋提供的服務。
為了安全,其實帶來更大的隱患
- 自動撥通電話,偷聽環境聲音
- 自動拍照
- 查看簡訊,綁定賬號
攻擊者的目的
- 獲取賬號首次註冊的優惠
- 給商家刷單,刷好評
- 盜刷別人的銀行卡,不留下自己的線索
行業思考
兒童智能手錶確實可以幫助家長聯繫到孩子,比帶手機要方便。
但安全隱私問題不得不重視,因為手錶不光是和孩子在一起,也會和家庭成員在一起。
孩子被監控的同時,家長也可能被監控。
我覺得應該加入以下行業規則
- 不轉發簡訊
- 不轉發通話記錄
- 不能自動撥通電話
家長的 APP 只能控制:手錶能否查看簡訊。即:要看簡訊內容只能在手錶上看。
兒童智能手錶,再見
參考文檔
德國禁止兒童手錶:行業混亂無序是原罪
推薦閱讀:
※我是怎麼讓女兒愛上閱讀的?
※牛聽聽 | 從抵觸到著迷,學音樂原來這麼有趣!
※家庭教育:為什麼中國人養孩子那麼累?7大原因,你中了幾個?
※為什麼有的小孩不怕生,而有的小孩一見陌生人就哭?
※捫心自問:我們真的是想要懲罰孩子嗎?