2025年12月27日至30日，第39屆混沌通信大會(huì)（39C3）在德國(guó)漢堡召開。

會(huì)上，德國(guó)達(dá)姆施塔特工業(yè)大學(xué)的研究團(tuán)隊(duì)曝光了挪威兒童智能手表品牌Xplora存在一項(xiàng)高危安全漏洞，其核心問題在于系統(tǒng)采用硬編碼的“通用密鑰”，導(dǎo)致黑客可輕松繞過安全防護(hù)，對(duì)全球同型號(hào)設(shè)備實(shí)施無差別攻擊。

這一漏洞不僅威脅兒童隱私，更暴露了兒童智能穿戴設(shè)備行業(yè)長(zhǎng)期存在的安全設(shè)計(jì)缺陷。

漏洞技術(shù)解析：從“通用密鑰”到無差別攻擊

研究團(tuán)隊(duì)發(fā)現(xiàn)，Xplora手表的開發(fā)者模式僅通過一個(gè)簡(jiǎn)單PIN碼保護(hù)，而該P(yáng)IN碼可通過暴力破解輕易獲取。更嚴(yán)重的是，所有同型號(hào)設(shè)備的加密密鑰被統(tǒng)一硬編碼在系統(tǒng)中。這意味著，一臺(tái)設(shè)備被攻破后，攻擊者即可獲得開啟所有設(shè)備的“萬能鑰匙”。

攻擊者僅需掃描IMEI號(hào)段，即可鎖定大量活躍設(shè)備，并實(shí)施以下操作：

實(shí)時(shí)監(jiān)聽通話：竊取兒童與家長(zhǎng)的私密對(duì)話；

篡改定位數(shù)據(jù)：偽造兒童位置信息，制造虛假安全假象；

竊取敏感文件：包括照片、語音備忘錄等；

反向操控家長(zhǎng)端：偽裝成兒童向家長(zhǎng)發(fā)送誘導(dǎo)信息，或切斷親子通信鏈路。

行業(yè)積弊：兒童手表為何屢成“安全重災(zāi)區(qū)”？

此次漏洞并非孤立事件。

從2015年國(guó)內(nèi)多品牌兒童手表被曝“越權(quán)漏洞”，到2019年定位數(shù)據(jù)泄露導(dǎo)致兒童行蹤暴露，行業(yè)安全問題始終未得到根本解決。其根源在于：

設(shè)計(jì)理念偏差：廠商過度追求功能迭代（如社交、支付），卻忽視安全架構(gòu)設(shè)計(jì)。例如，早期產(chǎn)品采用公板方案，直接套用未加密的通信協(xié)議。

成本導(dǎo)向的供應(yīng)鏈：低價(jià)競(jìng)爭(zhēng)迫使廠商使用低質(zhì)量方案商，部分設(shè)備甚至采用二手零件拼裝，安全防護(hù)形同虛設(shè)。

監(jiān)管與標(biāo)準(zhǔn)缺失：盡管2015年后中國(guó)推出《兒童智能手表技術(shù)標(biāo)準(zhǔn)文件》，但全球范圍內(nèi)仍缺乏統(tǒng)一的安全認(rèn)證體系，導(dǎo)致山寨產(chǎn)品泛濫。

家長(zhǎng)選購兒童智能手表時(shí)，需先查認(rèn)證（3C、CTA、CMIIT、GB 46859-2025），再驗(yàn)功能（網(wǎng)絡(luò)安全、隱私保護(hù)、沉迷防治、定位緊急），同時(shí)選擇知名品牌和查看評(píng)測(cè)反饋。通過這些措施，可最大程度降低兒童智能手表的安全風(fēng)險(xiǎn)，讓孩子用得安心。

免責(zé)聲明：本文部分文字、圖片、音視頻來源于公安部網(wǎng)安局博客、網(wǎng)絡(luò)、AI，不代表本站觀點(diǎn)，版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個(gè)人知識(shí)產(chǎn)權(quán)，如有異議請(qǐng)與我們聯(lián)系。

ice

收藏 海報(bào)分享