黑客如何攻擊智能手表? 記者了解到,兒童智能手表都有相應的手機軟件(App),用于家長注冊、綁定手表,在手機App中可以設置兒童的姓名、生日等信息,也可以發送指令,比如查詢位置、通話等。 那么,黑客是如何攻擊智能手表的? 西安四葉草信息技術有限公司高級安全研究員余俊峰說,手機App中設置的信息和發送的指令會傳到智能手表云端服務器,云端服務器和手表之間也相互發送一些功能指令。 “正常情況下,用戶A只能對自己綁定的智能手表發送信息和指令,但由于智能手表云端程序沒有對用戶身份和要執行的指令進行權限判斷,導致用戶A也可以對未綁定的其他智能手表進行操作。這就導致了越權漏洞。”他說。 關于“越權漏洞”,余俊峰解釋說,比如黑客在某銀行有銀行卡,正常情況下只能從自己的銀行卡中取錢,但黑客把銀行卡號修改成別人的,從別人的銀行卡上把錢取出來了,銀行沒有判斷取款人是否有權從這個銀行卡取錢,這就是越權漏洞。 資料圖。隱藏在網絡中的黑客也有黑白之分。“白帽”為安全而技術,是網絡安全的建設者;“黑帽”為利益而技術,是網絡安全的破壞者。 廠商設計不規范導致漏洞出現 不過,兒童智能手表的安全問題不能簡單歸結為技術問題。 2015年,國內多個品牌的兒童智能手表被曝存在“越權漏洞”。談到這一問題,360兒童手表產品總監孫浩告訴中新網記者,這其實是比較低級的漏洞,能做到這一點的前提是在服務端接口設計上就不規范,使攻擊者能越過一些認證手段,非法獲取手表的隱私信息。 “更進一步,根本原因在于2015年兒童手表市場爆發,很多小的廠商進入市場,他們沒有完善的設計研發能力,采用市面上一些公板方案,在產品的技術方案設計上就有問題。”孫浩說。 余俊峰認為,有些廠商為了產品盡早上市占領市場,缺乏足夠的設計、開發、測試時間,導致漏洞百出;也有些廠商獲知白帽黑客提交的漏洞細節后,沒有采取任何補救措施,對漏洞置之不理,任由漏洞存在。 |
相關閱讀:
- [ 06-17]果殼電子許鵬:為什么智能手表要向傳統手表學習
- [ 06-16]今年中考禁戴智能手表 高中將迎來首批“00”后
- [ 05-29]中國鐘表協會推動智能手表專委會(籌)成立
- [ 05-29]中國鐘表協會推動智能手表專委會(籌)成立
- [ 05-26]30多個品牌智能手表亮相首屆CES Asia 果殼智能圓表格外出挑
打印 | 收藏 | 發給好友 【字號 大 中 小】 |