被儿童智能手表泄露信息的经历

发布于 2020-9-4 18:07
浏览
0收藏

概述
儿童智能手表可以帮助监控儿童的周边环境,但如果被黑客利用,那么孩子身边的家长也成了被监控的对象。

试想你在卧室里给儿童智能手表充一晚上的电,有一些陌生人随时能监听卧室的声音,还能拍照、定位,恐不恐怖、刺不刺激?

 


起因
孩子上小学后,基本都是家长接送,现在想让他自己来回家里和学校。

为安全起见,能及时联系到孩子,所以就盘算着给孩子买个儿童智能手表。

市面上的儿童智能手表,功能都比较齐全:

能打电话
能语音聊天
能实时定位
能自动拨通电话
能查看接收的短信
能自动拍照
能设置通讯录白名单

 

经过
购买手表(3月23日)

只要能打电话就基本能满足我们的需求了,又用不了多久,就选了一款价格偏低的。

在京东上根据销量和评价买了一款【小寻 A2】儿童智能手表。

被儿童智能手表泄露信息的经历-开源基础软件社区

开始使用,体验还是挺好的:

款式和功能孩子挺喜欢
有运动记录
能打电话
能发语音
屏蔽陌生人电话、隐藏陌生人短信
家长可以查看短信,也就可以查询电话费
发现异常短信(4月13日)

莫名有一条京东账号注册短信,包含验证码。紧接着又来几条京东的订单短信

被儿童智能手表泄露信息的经历-开源基础软件社区

京东消费记录(4月14日)

被儿童智能手表泄露信息的经历-开源基础软件社区

为了排除是不是收到其他人的短信,我就用手表的卡号登录京东,登录成功了!

能看到这些订单信息:

 

 

被儿童智能手表泄露信息的经历-开源基础软件社区

还绑了银行卡

被儿童智能手表泄露信息的经历-开源基础软件社区

银行卡绑的是“刘青青”,收货人是“马露”,我们均不认识。

我们所在的城市是贵州贵阳,而收件货城市是广东东莞,根本不相关。

这时我确认:手表手机号的短信内容被别人监视了!

应急措施。为避免损失查清问题(4月16日)

修改京东密码,终止继续交易
申请退货,终止继续交易
取下手表电话卡,物理断网
联系京东小寻代理商客服
沟通记录,京东小寻代理商客服

被儿童智能手表泄露信息的经历-开源基础软件社区

没有证据,我也没办法确定就是小寻服务的问题

想着我已经拔卡断网,如果是小寻的问题,攻击者就不可能再登录这个被非法注册的京东号。

 


发现京东账号不能登录(4月17日)

第二天早上,我尝试登录该京东号,发现账号密码错误!

这时我开始怀疑:中国移动在某个环节泄露了短信。卡都拔了,这个账号怎么可能在京东被修改了密码?

所以我就去了上号的中国移动营业厅

 


问题排查(4月17日)中国移动营业厅

客服经理回复:

不存在一号多卡的问题
现在也不提供网上查看短信的服务
请联系京东客服排查

被儿童智能手表泄露信息的经历-开源基础软件社区

京东客服回复:

有人通过其他手机解除了验证,对方谎称:之前注册的手机号停机。

京东并没有核实手机号是否停机,根据对方提供的订单信息就做了解除验证的操作。刚注册的手机号不到三天就解除验证,难道京东的客服不觉得是疑点?

难怪我早上登录不上去了。

 


分析
到底谁泄露了信息?

被儿童智能手表泄露信息的经历-开源基础软件社区

短信内容只可能从三个地方泄露

中国移动
京东
小寻服务
拔了卡,对方不能登录京东账号,那么可以排除中国移动和京东。

那么剩下嫌疑最大的就只有小寻提供的服务。

为了安全,其实带来更大的隐患

自动拨通电话,偷听环境声音
自动拍照
查看短信,绑定账号
攻击者的目的

获取账号首次注册的优惠
给商家刷单,刷好评
盗刷别人的银行卡,不留下自己的线索

 

行业思考
儿童智能手表确实可以帮助家长联系到孩子,比带手机要方便。

但安全隐私问题不得不重视,因为手表不光是和孩子在一起,也会和家庭成员在一起。

孩子被监控的同时,家长也可能被监控。

我觉得应该加入以下行业规则

不转发短信
不转发通话记录
不能自动拨通电话
家长的 APP 只能控制:手表能否查看短信。即:要看短信内容只能在手表上看。

 


儿童智能手表,再见

 

来源:知乎

已于2020-9-4 18:07:05修改
收藏
回复
举报
回复
添加资源
添加资源将有机会获得更多曝光,你也可以直接关联已上传资源 去关联
    相关推荐