被儿童智能手表泄露信息的经历

概述
儿童智能手表可以帮助监控儿童的周边环境，但如果被黑客利用，那么孩子身边的家长也成了被监控的对象。

试想你在卧室里给儿童智能手表充一晚上的电，有一些陌生人随时能监听卧室的声音，还能拍照、定位，恐不恐怖、刺不刺激？

 

起因
孩子上小学后，基本都是家长接送，现在想让他自己来回家里和学校。

为安全起见，能及时联系到孩子，所以就盘算着给孩子买个儿童智能手表。

市面上的儿童智能手表，功能都比较齐全：

能打电话
能语音聊天
能实时定位
能自动拨通电话
能查看接收的短信
能自动拍照
能设置通讯录白名单

 

经过
购买手表（3月23日）

只要能打电话就基本能满足我们的需求了，又用不了多久，就选了一款价格偏低的。

在京东上根据销量和评价买了一款【小寻 A2】儿童智能手表。

开始使用，体验还是挺好的：

款式和功能孩子挺喜欢
有运动记录
能打电话
能发语音
屏蔽陌生人电话、隐藏陌生人短信
家长可以查看短信，也就可以查询电话费
发现异常短信（4月13日）

莫名有一条京东账号注册短信，包含验证码。紧接着又来几条京东的订单短信

京东消费记录（4月14日）

为了排除是不是收到其他人的短信，我就用手表的卡号登录京东，登录成功了！

能看到这些订单信息：

 

 

还绑了银行卡

银行卡绑的是“刘青青”，收货人是“马露”，我们均不认识。

我们所在的城市是贵州贵阳，而收件货城市是广东东莞，根本不相关。

这时我确认：手表手机号的短信内容被别人监视了！

应急措施。为避免损失查清问题（4月16日）

修改京东密码，终止继续交易
申请退货，终止继续交易
取下手表电话卡，物理断网
联系京东小寻代理商客服
沟通记录，京东小寻代理商客服

没有证据，我也没办法确定就是小寻服务的问题

想着我已经拔卡断网，如果是小寻的问题，攻击者就不可能再登录这个被非法注册的京东号。

 

发现京东账号不能登录（4月17日）

第二天早上，我尝试登录该京东号，发现账号密码错误！

这时我开始怀疑：中国移动在某个环节泄露了短信。卡都拔了，这个账号怎么可能在京东被修改了密码？

所以我就去了上号的中国移动营业厅

 

问题排查（4月17日）中国移动营业厅

客服经理回复：

不存在一号多卡的问题
现在也不提供网上查看短信的服务
请联系京东客服排查

京东客服回复：

有人通过其他手机解除了验证，对方谎称：之前注册的手机号停机。

京东并没有核实手机号是否停机，根据对方提供的订单信息就做了解除验证的操作。刚注册的手机号不到三天就解除验证，难道京东的客服不觉得是疑点？

难怪我早上登录不上去了。

 

分析
到底谁泄露了信息？

短信内容只可能从三个地方泄露

中国移动
京东
小寻服务
拔了卡，对方不能登录京东账号，那么可以排除中国移动和京东。

那么剩下嫌疑最大的就只有小寻提供的服务。

为了安全，其实带来更大的隐患

自动拨通电话，偷听环境声音
自动拍照
查看短信，绑定账号
攻击者的目的

获取账号首次注册的优惠
给商家刷单，刷好评
盗刷别人的银行卡，不留下自己的线索

 

行业思考
儿童智能手表确实可以帮助家长联系到孩子，比带手机要方便。

但安全隐私问题不得不重视，因为手表不光是和孩子在一起，也会和家庭成员在一起。

孩子被监控的同时，家长也可能被监控。

我觉得应该加入以下行业规则

不转发短信
不转发通话记录
不能自动拨通电话
家长的 APP 只能控制：手表能否查看短信。即：要看短信内容只能在手表上看。

 

儿童智能手表，再见

 

来源：知乎