低配儿童智能手表安全隐患被曝光
低配儿童智能手表安全隐患被曝光,手表厂商选择低版本操作系统背后,是出于压低成本的考虑。但这样系统的安全性大大降低,给儿童带来了无穷的后患。低配儿童智能手表安全隐患被曝光。
低配儿童智能手表安全隐患被曝光1
能定位、拍照、还能打电话......儿童智能手表,正在成为越来越多未成年学生的标配。然而,这个快速增长的细分市场却乱象频出。
昨晚,央视315晚会曝光了低配儿童智能手表存在巨大的安全隐患,甚至成了“行走的偷窥器”,恶意程序可以轻松进入到手表之中。
新浪科技在某电商平台发现,大量的低价山寨儿童手表充斥其中,甚至最低仅需9.9元就可以购买一款所谓的畅销儿童手表。毫无疑问,这类低劣产品的安全隐患将更大。
系统老旧 安全性低
据央视315晚会报道,315信息安全实验室对电商平台有着10万+销售记录的一款儿童智能手表展开专门测试。
测试人员将一个恶意程序的下载二维码伪装成抽奖游戏,儿童通过这款手表扫码之后,恶意程序就轻松进驻到了手表中。工程师可以实现对这款手表的远程控制,采集位置信息、监听通话记录、偷窥视频等操作易如反掌。
其背后的根本原因就在于该产品操作系统过于老旧。报道指出,这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统,距今已将近10年。只要App申请什么权限,系统就会给App什么权限,不会给用户任何告知。如此之下,App无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。
毫无疑问,手表厂商选择低版本操作系统背后,是出于压低成本的考虑。但这样系统的安全性大大降低,给儿童带来了无穷的后患。
实际上,智能手机的App权限问题,早已被相关部门和广大用户关注。
就在315晚会前夕,工信部刚刚开展了App侵害用户权益整治“回头看”,在对去年发现问题的App抽测中仍有14款存在问题,要求相关App在3月21日前完成整改。
根据工信部部长肖亚庆日前公布的数据,工信部2021年累计检测208万款App,通报了1549款违规App,对514款拒不整改的进行下架处理。
不过整体来看,这些App涉及的终端主要是手机、平板,儿童智能手表这个极其细分、却又十分重要的终端被忽略了。
山寨产品泛滥 最低仅9.9元?
实际上,除了315晚会曝光的操作系统版本低之外,大量的低价山寨儿童手表产品泛滥,存在的安全隐患更大。
新浪科技在某电商平台看到,如果以“儿童手表”作为关键词搜索,映入眼帘的是众多的低价产品,基本都在100元以下。
新浪科技点开一款关键词带有“华为手机适用”的产品,秒杀价只需要43元,已售出3.4万件。这款手表在宣传中可以连接WiFi下载微信、QQ、抖音等App,还支持打电话、视频通话、扫码支付、GPS定位、人脸识别等功能。
不过这款手表并不是华为出品,而是一家名为普希斯的品牌,毫无疑问是在蹭热度,诱导用户购买。
而在该电商平台的智能儿童手表畅销榜中,排名第一的竟然是售价14.8元的产品。这款产品以“小学生天才”作为关键词,故意蹭上“小天才”品牌,已售出10万+件。
畅销榜中还有一款仅需9.9元的“小学生天才”手表,实际品牌为金正,已出售3.2万件。在评论中,有用户表示“很差劲,打电话声音小音质也不好听不清楚”;还有用户称“根本用不了,就是个摆设,只能开机关机,啥也不能干。”
这些低价山寨儿童手表,一方面是可能存在着质量问题,另一方面在下载App时的安全问题则更加堪忧。
厂商涌入 行业待规范
虽然儿童智能手表产品相对细分,但快速成长的市场空间已经吸引了越来越多的`知名企业涌入。
根据公开统计数据,近10年来我国14岁以下儿童人口数量一直保持在2.5亿人左右的水平。而随着三胎政策的放开,儿童智能手表的潜在用户再次增加。
根据华经产业研究院的数据,近年来我国儿童智能手表需求量保持较快增长,2020年已经达到了2990万件。
儿童智能手表的潜力有多大?根据研究公司Counterpoint近日发布的2021年智能手表市场份额报告显示,imoo(步步高)在2021年以5.2%的市场份额位居第四,仅次于苹果、三星和华为,其主要就是依靠儿童智能手表产品。
这个巨大的市场也吸引了包括360、华为、小米等科技巨头的入局;2021年,专门做成人智能手表的华米科技,也宣布进军儿童智能手表领域。
不过整体来看,当前国内儿童智能手表的出货量主要集中在800元以下档位,低价竞争激烈;同时,儿童智能手表主要在一二线城市的家庭拥有较多,在三四线城市以及农村地区,儿童智能手表的普及率还非常低,这也给众多低价山寨产品提供了生存空间。
当前的儿童智能手表市场,除了此次央视315晚会曝光的安全问题之外,一些行业人士也表达了对健康问题的担忧。
华米科技CEO黄汪曾表示,越来越多的儿童手表在强化学习属性,将一些文化知识类学习、益智游戏功能加入儿童手表,这让一些家长、包括自己感到隐隐不安。
首先,儿童手表真的适合用来学习知识吗?为儿童手表赋予学习功能的初衷肯定是美好的,但现实是骨感的,让孩子在小小一两寸的屏幕上去学习,学习也许尚未成功,视力已然直线下降。
其次,孩子真的在用儿童手表学习知识吗?市面上的高科技产品是在帮助孩子还是在贻误孩子?厂商通过同时取悦父母、孩子获得了巨大的商业成功,却从没人去细究这背后到底有多少孩子因此而近视。已经成为刚需的儿童手表可能会成为下一个近视杀手。
315晚会的曝光,让儿童智能手表的安全问题置于聚光灯之下。
越来越多的企业因为市场份额和利润吸引而进入到这个细分市场中时,考虑的不能只是利益,还有社会责任。
这可能需要相关部门、手表厂商以及App开发商们的共同努力。而同样重要的是,也需要家长们在购买儿童智能手表时擦亮双眼,避免被低价山寨产品吸引而上当受骗。
低配儿童智能手表安全隐患被曝光2
如今的儿童智能手表,硬件强大,功能贴心,实时定位、高清双摄、人脸识别、视频通话。孩子们觉得方便好玩,家长们可以随时掌握孩子行踪。
如今,不少低配版的儿童智能手表在各大电商平台畅销热卖。3·15信息安全实验室对此展开了专门的测试。
这款儿童智能手表有着10万+的销售记录。测试人员购买了一只,交给一位小朋友佩戴。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏,贴在了孩子家门口。
这样的抽奖游戏,很容易吸引孩子扫码体验。就这样,恶意程序就轻松进驻到了孩子的智能手表中。
同时,工程师已经实现了对这款手表的远程控制。
孩子每次抽奖,恶意程序就自动把手表里的重要信息,如位置、通讯录、通话记录等打包实时发送出去。
玩完抽奖游戏,孩子下楼玩耍,工程师依然可以实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围。
测试人员从后台可以通过多次采集孩子的位置信息来推断,她的家离她的学校其实很近,大概两三百米,5分钟就能走到。
回家后,孩子和姥姥聊天。通过调用手表里的麦克风,身在异处的工程师对谈话内容一清二楚。
饭后,孩子在书桌前做手工。孩子的一举一动也被随时掌握。
为什么这种深受孩子喜爱、家长信任的儿童智能手表会成为一双时刻偷窥的眼睛,如影随形?
测试人员发现,根本原因就在于它的操作系统过于老旧。
这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统,距今已将近10年。而它的最新版本已经更新到了安卓12。
只要App申请什么样的权限,安卓4.4操作系统就会给App什么样的权限,也不会有任何的告知用户和得到用户授权同意的环节。
在如此低版本的儿童手表上,各种App安装后,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。这也就意味着它们能轻易获取孩子的位置、人脸图像、录音等隐私信息。
这些厂家选用低版本的操作系统是出于压低成本的考虑。但是它忽略了用户使用的安全性,给消费者带来了无穷的后患。
同样是在安卓系统的手机上,安装App时,系统都会有明确提示:用户是否同意授权。
现在大家非常重视手机App的监管,从技术原理上来讲,手机端的很多标准要求放到智能终端上是完全适用的。可能还是关注度不够的问题,让这一类智能终端在个人信息的保护上成为一个重灾区。
3·15信息安全实验室也对其他低配版的儿童智能手表进行测试。
这款儿童智能手表使用的是安卓9的操作系统,看起来版本较新。
安装App时,系统会弹窗提示是否给予某个权限。可是,用户一旦拒绝授权,App就会闪退,拒绝提供任何服务。
比如,测试人员打开一款叫“天气”的应用程序。它会出现一个弹窗,索要用户的存储权限。如果只查天气,不需要存储和读取用户照片,所以选择拒绝。然后应用程序又索要拨打电话权限,这也是一个非必要权限,还是拒绝。再次索要定位权限,也是一个非必要权限,也拒绝。然后这款应用程序就马上闪退了。
如此,消费者只有两种选择,要么完全不用,要么就拿所有的权限去换取服务。
App的强制索权的行为危害性很大。因为用户为了获得服务,一旦妥协把权限给出去,手表里的信息也就交出去了。孩子的地理位置、图片视频、通话录音等隐私将会被收集,孩子的安全隐患可想而知。
低配儿童智能手表安全隐患被曝光3
“实时定位、人脸识别、视频通话”,儿童智能手表硬件功能越来越强大。3月15日晚,央视315晚会曝光低配儿童智能手表,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限,轻松获取小孩的隐私信息,成为行走的“偷窥器”。
不少低配版的儿童智能手表在各大电商平台热卖。315信息安全实验室测试了一款价格百元出头、有着10万+销售记录的儿童智能手表,同时工程师将一个恶意程序进驻到智能手表中,实现了对这款手表的远程控制。在这种情况下,儿童每次使用智能手表抽奖,恶意程序就会自动把定位、通讯录、通话记录等打包实时发送出去。
通过远程端控制,还能不断收集儿童的移动轨迹,轻松圈定活动范围。远程控制方通过多次采集位置信息,推断家和学校的位置距离,并计算出步行时间等。因为智能手表有摄像功能,儿童的一举一动也会被这个低配智能手表随时记录下。
这些低配智能手表为何能轻松获取隐私信息?究其原因,测试人员发现,是操作系统过于老旧的问题。这款手表使用的是没有任何权限管理要求的安卓4.4操作系统,距今已将近10年,而它的最新版本已经更新到了安卓12。
只要APP申请权限,这个系统都会通过,也不会告知用户或者获取用户同意。315信息安全实验室进一步测试了系统版本高一些的低配智能手表,例如一款安卓9操作系统,有了弹窗提示授权,拒绝授权APP就会闪退,并拒绝提供任何服务。
从厂家端来看,选用低版本的操作系统是出于压低成本的考虑,但是忽略了用户使用的安全性。315信息安全实验室专家、中国电子技术标准化研究院网安中心测评实验室副主任何延哲在接受央视315采访时表示,现在国家非常重视手机APP的监管,从技术层面来讲手机端的监管要求放到智能终端也完全适用,不过这类智能终端在个人信息保护上还是一个重灾区。