3·15測試:低配的兒童智能手錶成“行走的偷窺器”
如今的兒童智能手錶,硬件強大,功能貼心,實時定位、高清雙攝、人臉識別、視頻通話。孩子們覺得方便好玩,家長們可以隨時掌握孩子行踪。如今,不少低配版的兒童智能手錶在各大電商平台暢銷熱賣。3·15信息安全實驗室對此展開了專門的測試。
這款兒童智能手錶有著10萬+的銷售記錄。測試人員購買了一隻,交給一位小朋友佩戴。測試人員將一個惡意程序的下載二維碼偽裝成抽獎遊戲,貼在了孩子家門口。
這樣的抽獎遊戲,很容易吸引孩子掃碼體驗。就這樣,惡意程序就輕鬆進駐到了孩子的智能手錶中。
同時,工程師已經實現了對這款手錶的遠程控制。
孩子每次抽獎,惡意程序就自動把手錶裡的重要信息,如位置、通訊錄、通話記錄等打包實時發送出去。
玩完抽獎遊戲,孩子下樓玩耍,工程師依然可以實時定位,不間斷收集孩子的移動軌跡,輕鬆圈定孩子的活動範圍。
測試人員從後台可以通過多次採集孩子的位置信息來推斷,她的家離她的學校其實很近,大概兩三百米,5分鐘就能走到。
回家後,孩子和姥姥聊天。通過調用手錶裡的麥克風,身在異處的工程師對談話內容一清二楚。
飯後,孩子在書桌前做手工。孩子的一舉一動也被隨時掌握。
為什麼這種深受孩子喜愛、家長信任的兒童智能手錶會成為一雙時刻偷窺的眼睛,如影隨形?
測試人員發現,根本原因就在於它的操作系統過於老舊。
這款手錶使用的竟然是沒有任何權限管理要求的Android4.4操作系統,距今已將近10年。而它的最新版本已經更新到了Android 12。
只要App申請什麼樣的權限,Android4.4操作系統就會給App什麼樣的權限,也不會有任何的告知用戶和得到用戶授權同意的環節。
在如此低版本的兒童手錶上,各種App安裝後,無需用戶授權就可以拿走定位、通訊錄、麥克風、攝像頭等多種敏感權限。這也就意味著它們能輕易獲取孩子的位置、人臉圖像、錄音等隱私信息。
這些廠家選用低版本的操作系統是出於壓低成本的考慮。但是它忽略了用戶使用的安全性,給消費者帶來了無窮的後患。
同樣是在Android系統的手機上,安裝App時,系統都會有明確提示:用戶是否同意授權。
現在大家非常重視手機App的監管,從技術原理上來講,手機端的很多標準要求放到智能終端上是完全適用的。可能還是關注度不夠的問題,讓這一類智能終端在個人信息的保護上成為一個重災區。
3·15信息安全實驗室也對其他低配版的兒童智能手錶進行測試。
這款兒童智能手錶使用的是Android9的操作系統,看起來版本較新。
安裝App時,系統會彈窗提示是否給予某個權限。可是,用戶一旦拒絕授權,App就會閃退,拒絕提供任何服務。
比如,測試人員打開一款叫“天氣”的應用程序。它會出現一個彈窗,索要用戶的存儲權限。如果只查天氣,不需要存儲和讀取用戶照片,所以選擇拒絕。然後應用程序又索要撥打電話權限,這也是一個非必要權限,還是拒絕。再次索要定位權限,也是一個非必要權限,也拒絕。然後這款應用程序就馬上閃退了。
如此,消費者只有兩種選擇,要么完全不用,要么就拿所有的權限去換取服務。
App的強制索權的行為危害性很大。因為用戶為了獲得服務,一旦妥協把權限給出去,手錶裡的信息也就交出去了。孩子的地理位置、圖片視頻、通話錄音等隱私將會被收集,孩子的安全隱患可想而知。