因一個定位追踪數據庫的暴露，僅通過一部智能手機的精准定位數據，短短幾分鐘內，美國總統特朗普的一舉一動就被完全鎖定掌握。《紐約時報》在12 月20 日刊出的《如何追踪特朗普》一文，披露了這份重磅級數據庫的存在，內含1200 多萬美國人、500 億個定位信號，其中包括很多美國名人、政要的定位信息。

由此報導，位置數據的重要性可見一斑。試想一下，如果是你家孩子的實時定位信息被陌生人掌握，那該是多可怕的一件事？！

實際上，一旦帶有定位追踪功能的兒童智能手錶存在安全漏洞，這樣的事情並不遙遠。包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和國外安全軟件公司，近期相繼曝出多家中國兒童智能手錶供應商普遍存在安全防護漏洞問題，據估計，至少有4700萬甚至更多數量的終端設備可能受此影響。

圖| 兒童智能手錶（來源：Rapid7）

黑客基於這些安全漏洞不僅能檢索或改變兒童的實時GPS 位置，還可以給他們打電話和或悄悄監視孩子的活動範圍，或者從不安全的雲端捕獲到基於設備的通話音頻文件。

這給兒童智能產品市場敲響了一記警鐘，本來想省心的你是否買到了不靠譜的兒童智能手錶？

用戶信息在什麼環節被洩漏了？

具備定位追踪功能的兒童智能手錶工作原理其實很簡單，很多元器件在市面上十分常見且價格不貴。手錶內的主板SOC 模組集成了提供位置的GPS 模塊，以及向設備提供GPRS 數據傳輸+ SMS 短信功能的SIM 卡模塊。

對兒童智能手錶的SIM卡或物聯網卡進行激活，綁定其他手機設備和APP程序後就能進行數據傳輸，家長在手機上打開相匹配的應用，就能實時得到孩子的位置信息。

圖| 定位基本原理（來源Avast）

而常見的漏洞便是出現在設備聯網之後各項涉及用戶數據的交互環節，比如用戶註冊登陸過程、與設備關聯的Web 網頁和管理站點、移動應用程序和雲之間的通信量，以及GPS 與雲之間的GPRS 通信量等。

圖| 智能手錶GPS 跟踪器的典型數據傳輸結構（來源Avast）

安全軟件公司AVAST Software通過檢測Shenzhen i365 Tech產品相關的Web應用程序發現，所有的請求都是純文本的標準JSONAjax（一種輕量級的數據交換格式）請求，且所有請求都是未加密和明文的，傳輸信息附帶指定的ID號和默認密碼123456，更值得關注的是黑客基於這些漏洞可以向設備發出指令，除了能獲得GPS坐標，可能還有更“黑”的操作：

圖| Web 應用程序Ajax 請求（來源Avast）

比如可以讓兒童智能手錶撥打存儲名單中的任意電話號碼，一旦連接上，就可以監聽到用戶的語音數據，而用戶卻不知情；可以激發設備SOS模式，發送短信給所有號碼，進而使用SMS（短信服務）作為攻擊矢量；甚至可以發送一個URL的更新固件允許在設備上安裝新固件，植入一些木馬程序。

圖| 登陸包和指令請求傳輸過程中的各類數據信息，涉及ID、密碼等用戶敏感信息已打碼（來源Avast）

利用這些漏洞，黑客可以輕而易舉地發動“MITM攻擊”（中間人攻擊，一種間接的入侵攻擊方式），通過把黑客控制的一台計算機虛擬放置在網絡連接中的兩台通信計算機之間，結合用於來回發送數據的不安全協議，黑客可以使用標準IP工具攻擊捕獲所有用戶數據。

圖| 黑客攻擊的方式（來源Avast）

有用戶調侃，對於這些劣質的兒童智能手錶，定位不精准或許成了最大優點，最起碼被黑客截取信息後，也不能準確找到孩子的位置和行踪。

三家被點名的中國公司

被外媒和安全公司披露存在安全漏洞的三家公司分別為Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS，經查證工商資料，三家都是深圳地區的科技電子企業。

Thinkrace 是深圳市尚銳科技有限公司，3G ELECTRONICS 是深圳市三基同創電子有限公司，而Shenzhen i365 Tech 從其官網展示信息線索看，關聯的公司主體或為深圳市叁創新科技有限公司和深圳市叁陸伍物聯科技有限公司。

三家公司旗下都有一塊相似的業務板塊，即生產銷售GPS 跟踪器和智能穿戴，包括相關的軟硬件開發解決方案，提供OEM/ODM 服務，基於現成的產品技術方案，第三方經營者可以輕易地貼牌進行轉賣銷售，很多客戶都在海外，包括北美和歐洲許多國家地區。

圖| 一種現成的兒童智能手錶的產品開發方案（來源：3G ELECTRONICS）

Thinkrace 應該是三家公司中最大的一家。資料顯示，該公司成立於2006 年，專門從事智能穿戴設備、車聯網等產品的設計、製造和整合行業解決方案，據悉每年能生產交付超過300 萬台物聯網設備，還曾作為2019 年世界夏季特奧會指定穿戴設備供應商。

而據Techcrunch 報導，很多Thinkrace 生產或貼牌轉售的設備，背後都關聯到一個不安全的雲平台上。

Thinkrace雲平台的安全漏洞主要是因為雲端API調用和加密的問題，沒有採用SSL加密（一種為保護敏感數據在傳送過程中的安全而設置的加密技術），暴露了一些密碼和數據的明文傳輸漏洞，然後調用API的時候也沒有做動態的校驗。

關於安全漏洞問題，DeepTech聯繫到Thinkrace公司負責人唐日新（RickTang）。他回應稱，目前在自己公司管控範疇內的安全漏洞其實都已經進行了排查修復。

唐日新表示，現在的數據相關環節都已進行了加密和動態校驗部署。比如採用了比較成熟的Web API Token 方式，第三方想要調用數據需要申請一個Token，且驗證會有時間限制，對一些數據進行了安全保護的強化，如果驗證超時則需要請求一個新的Token 才能調用數據。

圖| 一款兒童智能手錶的內部構造（來源：Pen Test Partners）

但這次安全漏洞的修復並不能完全覆蓋所有Thinkrace之前生產的設備，原因是在雲服務和軟件開發層面，實際上有不少Thinkrace的第三方客戶會自己去做開發，包括APP、雲服務和一些新增軟件功能，Thinkrace只提供了硬件設備的方案或產品製造，因此無法保障他們產品數據的安全性，這部分設備銷售出去也不在其控制範圍之內。

另外，世界各國對於信息數據安全的標準和要求不同，很多歐洲客戶不僅是要求保證API 和雲服務的安全。比如歐盟目前實施的GDPR 通用數據保護條例，包括Google 和Facebook 等科技巨頭都會時常遭到訴訟，動輒要面臨數十億歐元的罰款，歐美地區的法規監管相對會更嚴格一點。

而數據安全漏洞不僅包括數據的傳輸環節，也涉及怎麼使用數據，使用哪些類型的數據，使用數據的存活是多長時間，有沒有向用戶如實披露，用戶能不能徹底清理數據，企業要用這些數據做什麼事情等等，這些環節都存在用戶數據被洩漏的風險。

“我們不能保證每個客戶都能按照GDPR 的標準去執行落實，但在歐洲，我們會盡量協助客戶一起去做好數據安全系統的完善。”唐日新說。

DeepTech 也嘗試聯繫Shenzhen i365 Tech 和3G ELECTRONICS 等詢問其安全漏洞相關解決措施，截至發稿前尚未收到回應，其安全問題可能仍未得到有效解決。

產業鏈弊病仍難根除

據業內人士介紹，全球兒童智能手錶大概有90%來自深圳，很多雜牌兒童智能手錶的開發方案幾乎沒有什麼技術門檻，堪稱“地攤貨”，尤其是在電子產品產業鏈完備的深圳地區，山寨小廠非常多，很多百元左右的智能手錶硬件模塊大多是由劣質甚至二手零件拼裝，一隻手錶的成本最低只有十幾元，背後的技術團隊能力水平很低，數據安全根本無從談起。

圖| 深圳市關於兒童智能手錶的指導文件（來源：深圳市市場和質量監督管理委員會）

2018年5月，深圳市消委會曾牽頭編制發布《深圳市兒童智能手錶標準化技術文件》團體標準，試圖從產業鏈層面解決行業無標準、無監管以及山寨雜牌橫行的亂象，文件裡概括性提到了在終端、客戶端、安全管理平台、數據傳輸等層面的信息安全要求，但關於這些安全要求細則怎麼真正落實到相關企業，形成最好的治理效果仍需結合多種政策手段進行推進。

國內兒童智能手錶目前只有極少品牌有實力配備完善的硬件、軟件、ROM、雲服務等高質量的運維開發團隊，大部分雜牌兒童智能手錶為了降低成本，都是使用的現成解決方案貼牌跑銷量為主，包括手錶的系統、APP以及共用的服務器後台接入，如果源頭廠商對安全性不夠重視，下游市場必然安全漏洞百出，混亂一片。

對於企業來說，兒童智能手錶雖然是兒童產品，但絕不能以糊弄小孩的心態來做，做兒童智能產品，反而需要實施更嚴格和完備的產品安全標準，來為孩子們真正撐起一把保護傘。