近日,乌云漏洞报告平台发布了《多品牌智能儿童安全手表存严重漏洞可导致任意儿童被黑客实时监控》报告。报告指出,淘宝前32位有13款手表存在接口越权漏洞,可导致超百万儿童被黑客实时监控,获取儿童的日常行走轨迹,实时环境声音等。
此外,该平台还预估了此漏洞可能的影响面。据称,漏洞源自一个儿童智能手表的设计方案,目前在淘宝销售前32位的儿童智能手表产品中有13款均存在该漏洞,品牌涉及久方、普耐尔、智多星、安得乐、Wonsee、锋立、亦青藤等,不涉及小天才、糖猫儿童手表。
从品牌的角度来说,出现问题的品牌普遍具有知名度不高、品牌定位较低的特点。在随即央视的采访中,根据这些品牌的儿童智能手表出货量估算,影响儿童或在百万人左右。
小厂商直接贴牌,无面板加密
此次披露的漏洞厂商为深圳市三基同创电子有限公司,此公司为儿童定位手表厂商提供定位主板解决方案,即提供手表的内置面板给厂商组合成型,然后由厂商攒成手表,也就是大家常说的“白牌”产品。
一位知情人士表示:“因为是公版公模,便于生产,厂商为了赶生产速度拿到主板直接加工,直接省略了加密步骤,而同时面板商为了出货量考虑,直接就取消了面板的加密,制造商、加工商同时忽视了面板的加密措施,使得黑客可以毫无顾忌的直接调用到面板的数据接口,取得和家长端等同甚至达到技术人员的控制权限,而这一切,只需要简单的密码破解工具就可以完成。”
这位知情人士又指出,出现问题的品牌其实都是无自主知识产权和研发能力的小厂: “这实际上是业内低成本厂商的通病,就是重产量,而忽视最基本的安全问题。很多淘宝厂商出于对于成本的追求忽略了基本的安全素质,而现在补救已经没有办法了。这类产品在淘宝上售价几十块到一二百块不等,相比大品牌价格优势很明显,所以出货量也很大。”
央视建议:选择有技术实力的大厂品牌
由于目前儿童智能手表行业还未出台统一标准,专家建议要选择具有CTA认证的产品,同时专家提醒,不要贪图便宜,要选择国内知名品牌或在技术积累上有深厚积淀的大公司。
糖猫拥有独立研发能力 多重加密确保孩子安全
据了解,糖猫儿童手表并未与深圳该公司合作,而是利用搜狗技术进行研发,确保了信息的安全性,消费者可放心购买,无需担心。
糖猫是由搜狗出品的儿童智能手表。搜狗公司汇聚了国内顶级科技人才,研究生博士以上学历占42.2%,由此,搜狗也成为目前国内互联网公司除百度、腾讯外,拥有技术专利最多的公司,拥有诸多自主知识产权和卓越的研发能力。糖猫从立项开始,就坚持自主研发,硬件、软件和ROM系统均由糖猫历时一年多精心打造,从孩子需求出发,品质安全为上。
搜狗目前拥有5.21亿用户,是中国用户规模第二大的公司。一直以来,搜狗在不断创新的基础上,极度重视用户的信息安全,严格保护用户隐私,技术实力和隐私安全有实力保障。
糖猫产品已全部获得国家质量认证中心颁发的3C认证、国家无线电监测中心检测中心颁发的无线发射核准、工信部颁发的电信入网证;电路安全、电磁辐射、信号发射功率都在国家规定范围内。
与乌云平台持续沟通,时刻确保产品安全
为确保产品的持续安全,搜狗糖猫与乌云平台的白帽子社区建立了长效沟通机制,一旦发现安全隐患,白帽子就会告知搜狗糖猫,以便自检与及时修复。这样的机制能有效保证糖猫产品无论是在设备端、app端还是云端,都能及时避免相关用户安全的风险。
在刚刚结束的米兰世博会上,糖猫是唯一代表中国参加展出的儿童智能品牌,获得了世界的认可。后续,糖猫将继续保持独立研发领跑中国儿童智能手表。
网友评论