儿童智能手表这几年的确为家长解决了一些和孩子联系的问题,也能定位孩子的位置,起到一个安全的保护作用。但是一些低配的儿童智能手表也隐藏了不为人知的秘密,2022年315晚会曝光:低配的儿童智能手表成“行走的偷窥器”
如今,许多低配置的儿童智能手表在各大电子商务平台上畅销。3.15信息安全实验室对此进行了专项测试。
这款儿童智能手表有10万+的销售记录。测试人员给一个孩子买了一个。测试人员将恶意程序下载的二维码伪装成抽奖游戏,贴在孩子家门口。
这样的抽奖游戏,很容易吸引孩子扫码体验。这样,恶意程序就很容易进入孩子的智能手表。
与此同时,工程师们也实现了对这款手表的远程控制。
每次孩子抽奖,恶意程序都会自动打包手表中的重要信息,如位置、通讯录、通话记录等。
玩完抽奖游戏,孩子下楼玩,工程师仍然可以实时定位,不断收集孩子的移动轨迹,轻松圈定孩子的活动范围。
测试人员可以从后台多次收集孩子的位置信息来推断,她的家实际上离她的学校很近,大约两三百米,5分钟就能到达。
回家后,孩子和奶奶聊天。通过调用手表中的麦克风,异地工程师对谈话内容一清二楚。
晚饭后,孩子在书桌前做手工。孩子的一举一动也随时掌握。
为什么这种深受孩子喜爱、家长信赖的儿童智能手表会成为一双时刻偷窥的眼睛?
测试人员发现,根本原因是其操作系统过于陈旧。
这款手表使用的是安卓4.4操作系统,没有任何权限管理要求,已经近10年了。它的最新版本已经更新到安卓12。
只要App申请什么样的权限,Android4.4操作系统就会给App什么样的权限,不会有通知用户并获得用户授权的环节。
在这样一个低版本的儿童手表上,安装各种应用程序后,无需用户授权即可获得定位、通讯簿、麦克风、摄像头等敏感权限。这意味着他们可以很容易地获得儿童的位置、面部图像、录音和其他隐私信息。
这些制造商选择低版本的操作系统是为了降低成本。但它忽视了用户的安全,给消费者带来了无尽的麻烦。
在Android手机上安装App时,系统会明确提示用户是否同意授权。
现在我们非常重视手机应用程序的监督。从技术原则上讲,手机终端的许多标准要求完全适用于智能终端。这种智能终端可能不够关注,成为保护个人信息的重灾区。
3.15信息安全实验室还测试了其他低配置的儿童智能手表。
这款儿童智能手表采用Android9操作系统,看起来版本更新。
安装应用程序时,系统会弹出窗口,提示是否给予一定的权限。但是,一旦用户拒绝授权,应用程序就会闪回并拒绝提供任何服务。
例如,测试人员打开一个叫做天气的应用程序。它会有一个弹出窗口,要求用户的存储权限。如果你只检查天气,你不需要存储和阅读用户的照片,所以你选择拒绝。然后应用程序要求拨打电话权限,这也是一个不必要的权限或拒绝。再次索要定位权限也是一个不必要的权限,但也被拒绝了。然后应用程序立即闪回。
这样,消费者只有两种选择,要么根本不需要,要么拿所有的权限来换取服务。
应用程序的强制索赔行为非常有害。因为用户为了获得服务,一旦妥协给出权限,手表中的信息就会被交出。收集儿童的地理位置、图片、视频、通话录音等隐私,可以想象儿童的安全风险。
