兒童智慧手錶可以幫助監控兒童的周邊環境,但如果被駭客利用,那麼孩子身邊的家長也成了
被監控
的物件。
試想你在臥室裡給兒童智慧手錶充一晚上的電,有一些陌生人隨時能監聽臥室的聲音,還能拍照、定位,恐不恐怖、刺不刺激?
起因
孩子上小學後,基本都是家長接送,現在想讓他自己來回家裡和學校。
為安全起見,能及時聯絡到孩子,所以就盤算著給孩子買個兒童智慧手錶。
市面上的兒童智慧手錶,功能都比較齊全:
能打電話
能語音聊天
能實時定位
能自動撥通電話
能檢視接收的簡訊
能自動拍照
能設定通訊錄白名單
經過
購買手錶
(3月23日)
只要能打電話就基本能滿足我們的需求了,又用不了多久,就選了一款價格偏低的。
在京東上根據銷量和評價買了一款【小尋 A2】兒童智慧手錶。
訂單截圖
開始使用
,體驗還是挺好的:
款式和功能孩子挺喜歡
有運動記錄
能打電話
能發語音
遮蔽陌生人電話、隱藏陌生人簡訊
家長可以檢視簡訊,也就可以查詢電話費
發現異常簡訊
(4月13日)
莫名有一條京東賬號註冊簡訊,包含驗證碼。緊接著又來幾條京東的訂單簡訊
異常簡訊截圖
京東消費記錄
(4月14日)
為了排除是不是收到其他人的簡訊,我就用手錶的卡號登入京東,登入成功了!
能看到這些訂單資訊:
還綁了銀行卡
銀行卡綁的是“劉青青”,收貨人是“馬露”,我們均不認識。
我們所在的城市是貴州貴陽,而收件貨城市是廣東東莞,根本不相關。
這時我確認:
手錶手機號的簡訊內容被別人監視了!
應急措施。
為避免損失查清問題(4月16日)
修改京東密碼,終止繼續交易
申請退貨,終止繼續交易
取下手錶電話卡,物理斷網
聯絡京東小尋代理商客服
溝通記錄
,京東小尋代理商客服
小尋客服回覆
沒有證據,我也沒辦法確定就是小尋服務的問題
想著我已經拔卡斷網,如果是小尋的問題,攻擊者就不可能再登入這個被非法註冊的京東號。
發現京東賬號不能登入
(4月17日)
第二天早上,我嘗試登入該京東號,發現賬號密碼錯誤!
這時我開始懷疑:中國移動在某個環節洩露了簡訊。
卡都拔了
,這個賬號怎麼可能在京東被修改了密碼?
所以我就去了上號的中國移動營業廳
問題排查
(4月17日)中國移動營業廳
客服經理回覆:
不存在一號多卡的問題
現在也不提供網上檢視簡訊的服務
請聯絡京東客服排查
手機解除驗證
京東客服回覆:
有人透過其他手機解除了驗證,對方謊稱:
之前註冊的手機號停機
。
京東並沒有核實手機號是否停機,根據對方提供的訂單資訊就做了解除驗證的操作。剛註冊的手機號不到三天就解除驗證,難道京東的客服不覺得是疑點?
難怪我早上登入不上去了。
分析
到底
誰洩露了資訊
?
攻擊者獲取簡訊內容的渠道
簡訊內容只可能從
三個地方
洩露
中國移動
京東
小尋服務
拔了卡,對方不能登入京東賬號,那麼可以排除中國移動和京東。
那麼剩下嫌疑最大的就只有小尋提供的服務。
為了安全,其實帶來更大的隱患
自動撥通電話,偷聽環境聲音
自動拍照
檢視簡訊,繫結賬號
攻擊者的目的
獲取賬號首次註冊的優惠
給商家刷單,刷好評
盜刷別人的銀行卡,不留下自己的線索
行業思考
兒童智慧手錶確實可以幫助家長聯絡到孩子,比帶手機要方便。
但安全隱私問題不得不重視,因為手錶不光是和孩子在一起,也會和家庭成員在一起。
孩子被監控的同時,家長也可能被監控。
我覺得應該加入以下
行業規則
不轉發簡訊
不轉發通話記錄
不能自動撥通電話
家長的 APP 只能控制:手錶能否檢視簡訊。即:要看簡訊內容只能在手錶上看。
兒童智慧手錶,再見
小編不生產知識,我只是推文的搬運工(啦啦啦~)