云计算的缺陷暴露了数以百万计的儿童跟踪智能手表

2020-01-16 18:19:19  阅读 37 次 评论 0 条

云计算的缺陷暴露了数以百万计的儿童跟踪智能手表第1张-YMS工作室

父母给他们的孩子买GPS智能手表来跟踪他们,但安全缺陷意味着他们不是唯一能做到的人。

仅在今年,研究人员就发现了一些儿童追踪智能手表的弱点。但今天公布的新发现显示,几乎所有人都在一个共同的云平台中隐藏着一个更大、更具破坏性的缺陷,该平台用于为数百万支持蜂窝的智能手表供电。

云平台由中国白标电子制造商Thinkrace开发,Thinkrace是最大的位置跟踪设备制造商之一。该平台作为Thinkrace制造的设备的后端系统,存储和检索位置和其他设备数据。Thinkrace不仅把自己的儿童追踪手表卖给那些想监视自己孩子的父母,而且这家电子产品制造商还把自己的追踪设备卖给第三方企业,然后再将这些设备重新包装并重新贴上自己的品牌标签,出售给消费者。

所有制造或转售的设备都使用相同的云平台,保证由Thinkrace制造并由其客户之一销售的任何白标设备都是脆弱的。

PenTest Partners的创始人Ken Munro与TechCrunch独家分享了这一发现。他们的研究发现至少有4700万个易受攻击的设备。

“这只是冰山一角,”他告诉TechCrunch。

芒罗和他的团队发现,Thinkrace制造了360多台设备,主要是手表和其他跟踪器。由于重新贴标签和转售,许多Thinkrace设备的品牌不同

Munro表示:“品牌所有者往往甚至没有意识到他们正在销售的设备在Thinkrace平台上。

出售的每个跟踪设备都直接或通过由转售商操作的We b域上的端点与云平台交互。研究人员将这些命令一直追溯到Thinkrace的云平台,研究人员将其描述为失败的共同点。

研究人员说,大多数控制设备的命令都不需要授权,并且命令都有很好的记录,允许任何具有基本知识的人访问和跟踪设备。由于没有对帐号进行随机化,研究人员发现他们可以通过将每个帐号增加一个来批量访问设备。

缺陷不仅仅是让孩子处于危险之中,还包括其他使用这些设备的人。

在一个案例中,Thinkrace为参加特奥会的运动员提供了10,000个智能手表。但是研究人员说,这些漏洞意味着每个运动员的位置都可以被监控。

一家设备制造商购买了转售Thinkrace智能手表的权利。与许多其他经销商一样,这个品牌的所有者允许父母跟踪他们的孩子的下落,并在他们离开父母设定的地理区域时发出警报。

研究人员说,他们可以通过列举容易猜测的帐号来追踪任何戴着其中一只手表的孩子的位置。

智能手表还可以让父母和孩子互相交谈,就像对讲机一样。但研究人员发现,这些语音信息被记录下来并存储在不安全的云中,允许任何人下载文件。

来自智能手表转售商的脆弱服务器的儿童声音的录音。(为了保护孩子的隐私,我们已经删除了音频。

TechCrunch听了随机挑选的几段录音,可以听到孩子们通过这个应用程序与父母交谈。

研究人员将这一发现比作CloudPets,这是一个互联网连接的泰迪熊般的玩具,2017年,他们的云服务器没有受到保护,曝光了200万个儿童语音记录。

大约500万儿童和家长使用转售商出售的智能手表。

研究人员在2015年和2017年向包括Thinkrace在内的几家白标电子制造商披露了这些漏洞。

一些转售商固定了他们的脆弱端点。在某些情况下,为保护脆弱端点而实施的修复措施后来被取消。但许多公司只是无视这些警告,促使研究人员将他们的发现公之于众。

Thinkrace的发言人唐英年(Rick Tang)没有回应记者的置评请求。

芒罗说,虽然人们认为这些漏洞没有被广泛利用,但像Thinkrace这样的设备制造商“需要更好地”构建更安全的系统。在此之前,Munro说,所有者应该停止使用这些设备。

许多智能家居设备制造商仍然不会说,如果他们把你的数据给政府

本文地址:https://www.yms7.com/post/6797.html
版权声明:本文为原创文章,版权归 yms 所有,欢迎分享本文,转载请保留出处!

发表评论取消回复


表情

还没有留言,还不快点抢沙发?