(多图预警,爪机用户现在撤离战场还来得及!!!)
看题图大家就都知道了,这次讲的是生活中我们非常担心的窃听,事先声明乌云君不讲那些 [不能说的人] 做的那些 [不能说的事儿](因为咱也不知道),但却是要聊聊一个悄悄崛起的行业,不知你看完会不会感到恐怖。
一提到监听就会想到皇家特工007,《幽灵党》已上线近半月,乌云君还没去看,不知这次又有什么神奇的装备,我个人喜欢的还是各种瑞士军表系列,如:
呃……不对,放错图了
正文开始前还得多扯几个蛋,像乌云君这样的80后,大半都已为人父母,也就是常说的“大号”满级,开练“小号”,这个“小号”的安全也成了父母非常关心的方面(看看那些惊悚的新闻吧)80后是互联网中毒很深的一代,他们自然会被一些所谓儿童智能产品所吸引,比如这种
擦……又放错了
没错就是智能儿童手表,广告上两只一看就是纯正中国血统的熊孩子,而广告语竟打出“家长远程监听”、“知道孩子的小秘密”噱头,且不说你这词语用的露骨,这只洋妞的用意难不成是孩子二妈?亲生父母身在何处?此处突然抖出话题核心:利用智能监听设备监控孩子的人,未必都是家长!扯了太多的蛋终于可以讲讲乌云君擅长的技术方面了 (≖ ‿ ≖)✧
今年9月份的时候,乌云平台上一支名为NumenTeam的白帽团队联合乌云发布了一期儿童智能手表行业安全问题报告,对14款儿童手表进行了测试得到的一些结果令人震惊。在2014年中期,智能手表行业就出现了大量的品牌,产品质量参差不齐,跟安卓一样有点野蛮生长的味道。从2015开始,儿童手表行业出货可观悄悄壮大,在智能设备行业占据了霸主的位置,乌云漏洞报告平台上也开始陆续出现其安全报告:
这些漏洞的影响也由手表的几大功能决定:
-
定位孩子地理位置,运动轨迹,安全区
-
监听孩子周围声音
-
家庭角色身份对应
-
SOS紧急求助
-
……
任何一条功能都能吓垮一批家长了,通过乌云上的漏洞报告,我们看到存在漏洞的产品普遍存在,而且非常非常低级,轻松就能得知你家孩子的信息。想看影响?千言万语,不如一个视频:
这个演示来自NumenTeam白帽子的录制
这就是一个活生生的定位+监听的设备有木有?因为其简陋的安全防范,导致任何人都能够定位儿童用户、监听儿童用户甚至通过你的手机号找到你的孩子在哪里,而这个产品就是为了孩子的安全噱头而购买的。
除了孩子,大家还没想到他的另一个用途?这种“监听”功能的产品,不知在国内时如何规范的,是否处于灰色地带。如果你想监听竞争对手或者领导的生活或工作交谈情况,只需从合法渠道购买带有漏洞的智能儿童手表,然后送给竞争对手或领导的孩子就好了(跟乌云白帽子提到的送路由器、送U盘一个道理),然后在晚上孩子回家后,悄悄的开启监听功能,得知其住址与所交谈的商业机密,甚至嘿嘿嘿的内容。
PS:有的儿童手表即使你并未激活,通过漏洞也能够直接绑定未开封盒子中的智能产品,激活其功能。哦对,这东西给男/女票买也行效果杠杠的。
最后,用报告中提到的一些数据做结尾,一个悄悄崛起的行业,悄悄的带来了诸多安全风险:
图为某家儿童手表目前在线情况,可见一些三四线城市依然有覆盖量。通过NumenTeam测试结果分析,发现存在漏洞的手表比例大概分布如下
内容突然一下就结尾了,此处应该给解决方案啊。但因这个行业对待安全及其蔑视的态度,有药但是不吃又有啥办法呢?所以乌云君给大家的忠告就是,不止手表,任何具有监听、监控功效的产品,能不用就不用,在购买之前你就要想好设备的失控带来的可怕后果,厂商目的更多的还是如何打动你来购买产品,哎散了……
如果非要一些提示,那就尽量选互联网大厂的吧,乌云君通过一些沟通,得知国内还是有那么几家互联网出身的品牌确实在安全上下功夫的,至少付出了很多努力,至于各种寨子品牌,洗洗睡吧。
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台。
微信内限制外链,点击下方“阅读原文”可查看完整版本
本文始发于微信公众号(乌云漏洞报告平台):警惕!那些可能在你家中上演的“窃听风暴”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论