2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
父母給他們的孩子買(mǎi)GPS智能手表來(lái)跟蹤他們,但安全缺陷意味著他們不是唯一能做到的人。
僅在今年,研究人員就發(fā)現(xiàn)了一些兒童追蹤智能手表的弱點(diǎn)。但今天公布的新發(fā)現(xiàn)顯示,幾乎所有人都在一個(gè)共同的云平臺(tái)中隱藏著一個(gè)更大、更具破壞性的缺陷,該平臺(tái)用于為數(shù)百萬(wàn)支持蜂窩的智能手表供電。
云平臺(tái)由白標(biāo)電子制造商Thinkrace開(kāi)發(fā),Thinkrace是最大的位置跟蹤設(shè)備制造商之一。該平臺(tái)作為T(mén)hinkrace制造的設(shè)備的后端系統(tǒng),存儲(chǔ)和檢索位置和其他設(shè)備數(shù)據(jù)。Thinkrace不僅把自己的兒童追蹤手表賣(mài)給那些想監(jiān)視自己孩子的父母,而且這家電子產(chǎn)品制造商還把自己的追蹤設(shè)備賣(mài)給第三方企業(yè),然后再將這些設(shè)備重新包裝并重新貼上自己的品牌標(biāo)簽,出售給消費(fèi)者。
所有制造或轉(zhuǎn)售的設(shè)備都使用相同的云平臺(tái),保證由Thinkrace制造并由其客戶(hù)之一銷(xiāo)售的任何白標(biāo)設(shè)備都是脆弱的。
PenTest Partners的創(chuàng)始人Ken Munro與TechCrunch獨(dú)家分享了這一發(fā)現(xiàn)。他們的研究發(fā)現(xiàn)至少有4700萬(wàn)個(gè)易受攻擊的設(shè)備。
“這只是冰山一角,”他告訴TechCrunch。
芒羅和他的團(tuán)隊(duì)發(fā)現(xiàn),Thinkrace制造了360多臺(tái)設(shè)備,主要是手表和其他跟蹤器。由于重新貼標(biāo)簽和轉(zhuǎn)售,許多Thinkrace設(shè)備的品牌不同
Munro表示:“品牌所有者往往甚至沒(méi)有意識(shí)到他們正在銷(xiāo)售的設(shè)備在Thinkrace平臺(tái)上。
出售的每個(gè)跟蹤設(shè)備都直接或通過(guò)由轉(zhuǎn)售商操作的We b域上的端點(diǎn)與云平臺(tái)交互。研究人員將這些命令一直追溯到Thinkrace的云平臺(tái),研究人員將其描述為失敗的共同點(diǎn)。
研究人員說(shuō),大多數(shù)控制設(shè)備的命令都不需要授權(quán),并且命令都有很好的記錄,允許任何具有基本知識(shí)的人訪問(wèn)和跟蹤設(shè)備。由于沒(méi)有對(duì)帳號(hào)進(jìn)行隨機(jī)化,研究人員發(fā)現(xiàn)他們可以通過(guò)將每個(gè)帳號(hào)增加一個(gè)來(lái)批量訪問(wèn)設(shè)備。
缺陷不僅僅是讓孩子處于危險(xiǎn)之中,還包括其他使用這些設(shè)備的人。
在一個(gè)案例中,Thinkrace為參加特奧會(huì)的運(yùn)動(dòng)員提供了10,000個(gè)智能手表。但是研究人員說(shuō),這些漏洞意味著每個(gè)運(yùn)動(dòng)員的位置都可以被監(jiān)控。
一家設(shè)備制造商購(gòu)買(mǎi)了轉(zhuǎn)售Thinkrace智能手表的權(quán)利。與許多其他經(jīng)銷(xiāo)商一樣,這個(gè)品牌的所有者允許父母跟蹤他們的孩子的下落,并在他們離開(kāi)父母設(shè)定的地理區(qū)域時(shí)發(fā)出警報(bào)。
研究人員說(shuō),他們可以通過(guò)列舉容易猜測(cè)的帳號(hào)來(lái)追蹤任何戴著其中一只手表的孩子的位置。
智能手表還可以讓父母和孩子互相交談,就像對(duì)講機(jī)一樣。但研究人員發(fā)現(xiàn),這些語(yǔ)音信息被記錄下來(lái)并存儲(chǔ)在不安全的云中,允許任何人下載文件。
來(lái)自智能手表轉(zhuǎn)售商的脆弱服務(wù)器的兒童聲音的錄音。(為了保護(hù)孩子的隱私,我們已經(jīng)刪除了音頻。
TechCrunch聽(tīng)了隨機(jī)挑選的幾段錄音,可以聽(tīng)到孩子們通過(guò)這個(gè)應(yīng)用程序與父母交談。
研究人員將這一發(fā)現(xiàn)比作CloudPets,這是一個(gè)互聯(lián)網(wǎng)連接的泰迪熊般的玩具,2017年,他們的云服務(wù)器沒(méi)有受到保護(hù),曝光了200萬(wàn)個(gè)兒童語(yǔ)音記錄。
大約500萬(wàn)兒童和家長(zhǎng)使用轉(zhuǎn)售商出售的智能手表。
研究人員在2015年和2017年向包括Thinkrace在內(nèi)的幾家白標(biāo)電子制造商披露了這些漏洞。
一些轉(zhuǎn)售商固定了他們的脆弱端點(diǎn)。在某些情況下,為保護(hù)脆弱端點(diǎn)而實(shí)施的修復(fù)措施后來(lái)被取消。但許多公司只是無(wú)視這些警告,促使研究人員將他們的發(fā)現(xiàn)公之于眾。
Thinkrace的發(fā)言人唐英年(Rick Tang)沒(méi)有回應(yīng)記者的置評(píng)請(qǐng)求。
芒羅說(shuō),雖然人們認(rèn)為這些漏洞沒(méi)有被廣泛利用,但像Thinkrace這樣的設(shè)備制造商“需要更好地”構(gòu)建更安全的系統(tǒng)。在此之前,Munro說(shuō),所有者應(yīng)該停止使用這些設(shè)備。
許多智能家居設(shè)備制造商仍然不會(huì)說(shuō),如果他們把你的數(shù)據(jù)給政府
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。