昨日晚间,央视315晚会曝光低配儿童智能手表,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限,轻松获取小孩的隐私信息,成为行走的“偷窥器”。
不少低配版的儿童智能手表在各大电商平台热卖。315信息安全实验室测试了一款价格百元出头、有着10万+销售记录的儿童智能手表,同时工程师将一个恶意程序进驻到智能手表中,实现了对这款手表的远程控制。在这种情况下,儿童每次使用智能手表抽奖,恶意程序就会自动把定位、通讯录、通话记录等打包实时发送出去。
通过远程端控制,还能不断收集儿童的移动轨迹,轻松圈定活动范围。远程控制方通过多次采集位置信息,推断家和学校的位置距离,并计算出步行时间等。因为智能手表有摄像功能,儿童的一举一动也会被这个低配智能手表随时记录下。
这些低配智能手表为何能轻松获取隐私信息?究其原因,测试人员发现,是操作系统过于老旧的问题。这款手表使用的是没有任何权限管理要求的安卓4.4操作系统,距今已将近10年,而它的最新版本已经更新到了安卓12。只要APP申请权限,这个系统都会通过,也不会告知用户或者获取用户同意。315信息安全实验室进一步测试了系统版本高一些的低配智能手表,例如一款安卓9操作系统,有了弹窗提示授权,拒绝授权APP就会闪退,并拒绝提供任何服务。
从厂家端来看,选用低版本的操作系统是出于压低成本的考虑,但是忽略了用户使用的安全性。315信息安全实验室专家、中国电子技术标准化研究院网安中心测评实验室副主任何延哲在接受央视315采访时表示,现在国家非常重视手机APP的监管,从技术层面来讲手机端的监管要求放到智能终端也完全适用,不过这类智能终端在个人信息保护上还是一个重灾区。
关键词: 低配儿童智能手表成行走的偷窥器