Wooyun & NumenTeam 聯合出品
這是來自美劇《網絡犯罪調查》的一張截圖,講述的是黑客通過入侵了數萬家庭嬰兒監控攝像頭,分析家庭的作息時間,在合適的時機偷出需要的嬰兒,并實時進行全球在線拍賣的故事。
上面的場景哪怕放在兩年前都會顯得有些科幻,但由于近年來智能硬件熱潮的興起,帶來相關設備的井噴式發展,使得上面的場景已經完全可以變成現實。只是本文的主角由嬰兒監控攝像頭變成了兒童智能手表。
以Apple Watch為代表的智能手表行業的興起,帶起了智能穿戴設備的一波高潮。當這類技術和特定的人群結合,就形成了各種細分市場,比如老人手表、運動手表、兒童手表。由于開學季,近幾個月來,兒童智能手表的市場呈現出爆發的姿勢,行業月出貨量達到百萬以上。家長們也紛紛愿意為這個新產品買單,以期收獲一份安心。
這個現象引起了專注智能硬件安全的NumenTeam(http://numen-team.org)團隊的注意,憑著過往的積累,我們敏銳地感知到,大量涌入的手表廠商,同時也攜帶了大量的安全問題進入這個領域。孩子是一個家庭的希望,可以說孩子的安全是一個家庭最重要的事情,其重要性遠遠超過隱私泄漏、財產被盜這類傳統安全關注的問題。
在國內知名的安全問題發布平臺烏云(http://WooYun.org)上,也出現了不少相關漏洞。有感于這個可能爆發重大安全問題的行業,NumenTeam聯合烏云平臺對市面上主流的兒童智能手表進行了深入的安全問題分析,以期能引起行業關注,盡快修復存在的問題。
為此,我們在淘寶和京東上抽取了部分銷量不錯的兒童智能手表品牌作為測試對象,包括:
| 小天才 | 阿巴町 | 三基同創 | 糖貓 |
| 鋒立 | 開米 | 一米 | 平安星 |
| TORO | 中興守護寶 | 童表管家 | 邦邦熊 |
| 庫多啦 | 微喔 V.WO |
市面上的兒童智能手表一般主打以下幾個賣點:
可以看到,智能手表的功能中實際上包含了孩子非常多的隱私信息,如果被黑客控制,后果非常嚴重。
如果從專業的安全角度來說,評測智能手表會涉及到很多細節問題,比如APP安全、Web安全、固件安全等。為了簡化研究過程,本文從下面四個關鍵維度的結論來評估手表的安全風險:
如果上述四個維度都能實現,就意味著引子里面的電視劇場景可能變成現實。
通過對各款手表的通信協議和指令系統進行分析和模擬,我們得到的結論非常不樂觀。大部分兒童智能手表存在上面提到的一個或多個安全風險。有些品牌甚至全中,對此我們表示非常擔憂。
下面描述一下各個維度常見的問題的部分原因:
問題1:無需授權綁定設備
原因:部分品牌存在,只要知道對方手表序列號,就可以直接綁定手表獲取數據,沒有要求兒童或者家長側的驗證。
問題2:無需綁定越權查詢
原因:部分品牌的后臺查詢接口,權限控制不嚴格,通過構造指令可以直接查詢到其他手表的定位信息。
問題1:無需授權綁定設備
原因:原因同定位信息,黑客可以直接綁定手表,獲取全部權限。
問題2:后臺權限判定不嚴格
原因:部分品牌在處理監聽請求時,沒有限制只有來自父母的請求才接受,導致可被黑客監聽。
問題1:APP端存在默認密碼
原因:部分品牌為了方便,在父母手機端使用了默認密碼,導致黑客可以簡單修改密碼使得父母無法登錄,無法取得兒童的信息。
問題2:后臺越權修改密碼
原因:部分品牌后臺修改用戶信息的接口存在權限控制問題,可以通過特定的方式修改他人帳號信息和密碼,導致父母無法登錄。
問題1:查詢接口暴露過多信息
原因:部分品牌的數據查詢接口暴露了過多信息,可能包括家長和孩子的手機號,導致可以做到精確匹配。
注:× 表示已發現問題,√ 表示暫未發現,品牌順序和上面品牌列表不對應
| 定位兒童 | 監聽兒童 | 切斷父母數據 | 匹配父母孩子 | |
| 品牌01 | √ | √ | √ | √ |
| 品牌02 | √ | √ | √ | √ |
| 品牌03 | × | × | × | × |
| 品牌04 | × | × | × | × |
| 品牌05 | √ | √ | √ | √ |
| 品牌06 | × | √ | √ | √ |
| 品牌07 | √ | √ | √ | √ |
| 品牌08 | × | × | × | × |
| 品牌09 | × | × | √ | × |
| 品牌10 | × | × | √ | × |
| 品牌11 | √ | √ | √ | √ |
| 品牌12 | × | × | × | √ |
| 品牌13 | × | √ | × | √ |
| 品牌14 | × | × | × | √ |
| 合計 | 9 | 7 | 6 | 5 |
由于智能手表的方案商多數屬于傳統廠商,互聯網安全意識這塊相對薄弱,導致許多產品連最基本的賬戶權限控制都沒有做。只需要修改web api的指令參數,就可以獲得其他設備的詳細信息。
例如調用某款智能手表的reqDeviceInfo指令,修改參數 device_id。
就可以拿到非常敏感的信息,包括家長和孩子的手機號、頭像等。
越權問題通常還有個特別親密的小伙伴,就是設備的遍歷,廠商為了方便,設備ID往往使用簡單的遞增,最多再加上前后綴的方式。導致把前面越權查詢的問題迅速放大,甚至于可以拉取廠商所有賣出的設備信息。
下圖是從某廠商的數據接口中讀出的部分定位數據:
上面的簡單數據或許不會感覺太明顯。為了直觀表示,這里抽取了部分定位數據,繪制了京津唐地區的實時監控數據圖:
可以看到,黑客完全可以繪制一張實時地圖,來監控全國各地的孩子們,細思極恐。
其實安全問題這邊還有很多細節,由于兒童安全這個問題實在太過敏感,這里去除了大部分,僅希望這個局面能引起各廠商的重視。
限于研究時間的關系,上面的數據可能只是部分產品的一部分問題而已。還有更多的其他智能產品在讓我們享受更便利生活的同時,在源源不斷的泄露隱私,導致可能的安全風險。后續相關問題我們也會持續提交到烏云平臺,為產業的安全能力提升貢獻力量。
作為安全研究人員同時也是一個普通父親,我們對此現狀感到非常擔憂。仿佛看到千千萬萬的孩子處于危險。雖然我們傾向于認為人販子不會擁有這樣的視野和技術,但是在未來的高科技犯罪場景下一切皆有可能。
對此,我們NumenTeam團隊也在積極打造相關的安全服務和產品,希望能幫助安全能力不足的企業,一起努力提升這個行業的安全性,希望引子里的場景僅僅存在于電視劇而已。