联网儿童手表或导致儿童受黑客威胁

研究人员告诉Threatpost，“我们的建议是停止使用这种手表，因为这类漏洞的修复是很困难的。”

这些年来，具有跟踪功能的手表作为一种方便父母监控孩子的方法，已经越来越流行。但是，最近在Misafes流行手表上发现的一个安全漏洞，使得心怀恶意的人也可以使用这些跟踪能力，最终可能威胁到戴这种手表的孩子的身体安全。

Misafes的小孩手表售价不到10欧元，能为父母提供诸如通过SIM卡和蜂窝网络连接的双向通话功能，以及父母跟踪孩子位置的配套应用程序。

Pen Test Partners的研究人员发现了这个小工具的漏洞，而这些漏洞很容易把手表转化成跟踪者或恋童癖的理想工具：这些漏洞允许远程黑客查看孩子们手表的实时GPS坐标。攻击者还可以给孩子的手表打电话，窃听他们的谈话，并截获有关他们的个人信息，如姓名、年龄和性别等。

Pen Test Partners的研究员艾伦·莫尼在周四的帖子中描述了他如何对手表发起各种不安全直接对象引用（IDOR）攻击。

当内部实现对象（如文件或数据库）暴露给任意用户而没有任何访问控制措施时，就会发生IDOR攻击。攻击者就可以随意未经授权的访问这些数据——并对其执行各种恶意操作。

在使用代理抓取了iOS版本的MiSafes应用程序（使用Burp）之后，Monie发现通信流量没有加密——这意味着个人信息，例如使用跟踪手表的孩子个人档案图片、姓名、性别、出生日期、身高和体重等敏感信息都在互联网上以明文形式传输。

更糟糕的是，似乎API接口执行的唯一安全检查是将用户ID与跟踪器上的session_token进行匹配。因此，攻击者可以通过简单地更改API的get_watch_data_latest参数中的family_id，以找到与该号码相关联的家庭的手表的位置和device_id。

Monie告诉Threatpost：“family_id是按顺序生成的，所以我们把自己手表的family_id改为另一个，这样我们就能够获得另一块手表的位置数据。同时这也返回了一个device_id，然后我们可以使用它来获取孩子的电话号码。”

用这种方法，Monie能够查看手表的近期的实时位置数据（因为它每五分钟更新一次GPS坐标到API）以及手表之前去过的位置。

使用来自API的数据，研究人员还能够对手表进行欺骗（因为他们可以检索信息以获得孩子和父母的电话号码），并激活“监视模式”，允许他们监听孩子。

Monie说MisaFes并对她的多次接触做出反应。该公司也没有回应来自Threatpost的文章。但是，Monie接着说道说，该产品已经从eBay撤下，而且在亚马逊也找不到。

无论如何，Monie告诉Threatpost，这些安全很难修复，建议消费者停止使用手表。

“该API接口的问题可以由MiSafes修复，但是设备应该使用内部白名单来决定是否允许孩子接电话，”他说。“这很难解决。MiSafeS需要更新所有手表中的固件。因此我们的建议是停止使用这块手表。”

虽然很多物联网设备都是不安全的，但值得注意的是不少有漏洞设备都被儿童使用。去年，与泰迪熊相连的CloudPets被发现泄露了父母和孩子之间的220万条语音记录，这是非常严重的数据泄露。其他一些相关的玩具也发现了隐私数据问题，比如“创世纪玩具”的“我的朋友凯拉娃娃”（在德国已被禁止）和美泰的“你好，芭比娃娃”。

“直到消费者或行业机构开始要求制造商满足某些安全标准，或者供应商公布他们的安全测试报告，玩具才是安全的。但可悲的是，市场竞争将优先于安全，”Monie告诉Threatpost。“有这么多便宜的物联网设备，安全研究人员无法完全测试它们。希望其他国家能效仿德国，禁止凯拉娃娃，如果禁令是因为安全漏洞，那么很可能会给制造商带来压力。”

原文链接：https://threatpost.com/connected-wristwatch-allows-hackers-to-stalk-spy-on-children/139118/