ice 2025年12月27日至30日,第39届混沌通信大会(39C3)在德国汉堡召开。
会上,德国达姆施塔特工业大学的研究团队曝光了挪威儿童智能手表品牌Xplora存在一项高危安全漏洞,其核心问题在于系统采用硬编码的“通用密钥”,导致黑客可轻松绕过安全防护,对全球同型号设备实施无差别攻击。
这一漏洞不仅威胁儿童隐私,更暴露了儿童智能穿戴设备行业长期存在的安全设计缺陷。
漏洞技术解析:从“通用密钥”到无差别攻击
研究团队发现,Xplora手表的开发者模式仅通过一个简单PIN码保护,而该PIN码可通过暴力破解轻易获取。更严重的是,所有同型号设备的加密密钥被统一硬编码在系统中。这意味着,一台设备被攻破后,攻击者即可获得开启所有设备的“万能钥匙”。
攻击者仅需扫描IMEI号段,即可锁定大量活跃设备,并实施以下操作:
实时监听通话:窃取儿童与家长的私密对话;
篡改定位数据:伪造儿童位置信息,制造虚假安全假象;
窃取敏感文件:包括照片、语音备忘录等;
反向操控家长端:伪装成儿童向家长发送诱导信息,或切断亲子通信链路。
行业积弊:儿童手表为何屡成“安全重灾区”?
此次漏洞并非孤立事件。
从2015年国内多品牌儿童手表被曝“越权漏洞”,到2019年定位数据泄露导致儿童行踪暴露,行业安全问题始终未得到根本解决。其根源在于:
设计理念偏差:厂商过度追求功能迭代(如社交、支付),却忽视安全架构设计。例如,早期产品采用公板方案,直接套用未加密的通信协议。
成本导向的供应链:低价竞争迫使厂商使用低质量方案商,部分设备甚至采用二手零件拼装,安全防护形同虚设。
监管与标准缺失:尽管2015年后中国推出《儿童智能手表技术标准文件》,但全球范围内仍缺乏统一的安全认证体系,导致山寨产品泛滥。
家长选购儿童智能手表时,需先查认证(3C、CTA、CMIIT、GB 46859-2025),再验功能(网络安全、隐私保护、沉迷防治、定位紧急),同时选择知名品牌和查看评测反馈。通过这些措施,可最大程度降低儿童智能手表的安全风险,让孩子用得安心。
免责声明:本文部分文字、图片、音视频来源于公安部网安局博客、网络、AI,不代表本站观点,版权归版权所有人所有。本文无意侵犯媒体或个人知识产权,如有异议请与我们联系。
