315曝光APP不授权就闪退低配儿童手表成偷窥器究竟是谁的锅
认证作者
这不禁让人产生疑问:儿童手表就那么容易被控制吗?手机权限为什么说获取就获取,说是安卓版本低那为什么以前的手机就没事呢?儿童手表就没有杀毒软件、安全系统吗?
儿童手表安全问题可是关乎中国数千万儿童的隐私,如果落入坏人手里,被用于敲诈、勒索、拐卖、绑
315曝光了低配儿童手表因为安卓系统低,容易被病毒软件攻击的事件,伪装的恶意程序借用扫码抽奖的套路吸引小朋友扫码下载恶意程序。每一次抽奖,模拟测试的工程师都能获取位置、通讯录、通话记录等实时信息,并且获权使用录音和摄像头,监控孩子的一举一动。
这不禁让人产生疑问:儿童手表就那么容易被控制吗?手机权限为什么说获取就获取,说是安卓版本低那为什么以前的手机就没事呢?儿童手表就没有杀毒软件、安全系统吗?
儿童手表安全问题可是关乎中国数千万儿童的隐私,如果落入坏人手里,被用于敲诈、勒索、拐卖、绑架,后果将不堪设想。想想受过高等教育的大学生,阅历丰富的成年人都会被电信诈骗,犯罪分子想从孩子那里获取什么,那不是更简单?
儿童手表的系统安全问题必须要重视,不止要引入杀毒软件和保护系统,家长更要教导孩子不要轻易相信手机中陌生人,警惕如扫码抽奖等诈骗套路。
低配儿童手表为什么会给偷窥留后门?
根据新闻中工程师模拟的套路,恶意软件通过扫码下载到手表,然后就获取了摄像、录音等权限,这里面漏掉了关键的一步——安装和授权。
早期的安卓版本存在一个很直白的漏洞,安装在系统上的软件可以直接请求并获取手机的各种权限,比如说存储的信息,有些人记不住密码喜欢把它存在手机上方便随时查看,这就可能被软件访问存储信息的时候读取到,从而盗取账号或者钱财。
用过早期安卓手机的应该知道,以前安装软件并没有“授权请求”这一步,直接点击安装就可以,手机也不会提示“是否对它开放某某权限”。不过,现在这种情况基本不会发生了,随着安卓系统的升级迭代,这个漏洞基本已经填补上了。
新闻中提到的儿童手表的操作系统安卓4.4是2013年的产物,笔者自己还用过更老的安卓版本,自己都可以下载一个刷机软件获取安卓的ROOT权限,也就是最高权限,可想而知它的安全系数是有多低。以现在的技术力去破解以前的安卓系统那可太容易了。
就安全风险而言,系统版本越老旧,恶意软件侵入的概率就越高,系统漏洞也更多。
回到问题开头提到的授权,现在软件安装肯定有“授权询问”这一步,但因为用户正想使用这个软件,所以肯定会三下五除二的把授权全通过了,这就相当于默认开放这些权限给软件。如果这是个恶意软件,它就可以借这些权限“偷偷”干一些见不得人的勾当,作为手机的使用者,你很难察觉软件什么时候调用了这些权限。
而且你会发现,现在的很多软件只要你不授权,它还给你闹脾气玩闪退,你要用这个软件还不得不进行这样那样的授权,这样的软件就是一流氓。
所以,低配儿童手表成“偷窥器”的两个原因,一是安卓版本低漏洞太多,容易被恶意软件侵入;二是授权问题,要使用软件就要授权,别说孩子不懂这些,就算他懂,也会被免费领玩具这些套路引诱从而“默认”安装。
而造成大量低配低价、存在安全问题的儿童手表流入市场的原因是什么?这个问题值得深入研究。
低配儿童手表给偷窃留后门,究竟是谁的锅?聚焦儿童手表市场,大致可把手表厂商分为三类,一类是小天才儿童手表这种专精儿童电子产品开发的实力厂商;一类是小米、华为、360这类移动端电子产品巨头和互联网公司,做下级市场开发的儿童手表;最后一类是没有品牌背书,走低端路线的儿童手表厂商。
打开网购平台,搜索“儿童手表”就能看到上述的各种儿童手表品牌。我们先从价格比较透明的小天才、小米、华为儿童手表入手,界定下什么价位的儿童手表算低配。从现实价格定位来看,300元是这两类儿童手表品牌给到的价格底线,那300元以下的产品将被定义为低配、低价。
为什么这么说呢?试想一下,当消费者有300元以上的购物预算,它会选择没有品牌背书的产品吗?所以,300元是儿童手表保质消费的门槛。
有了消费门槛,消费者认可吗?从实际情况来看,那肯定是有相当一部分人不认可的,这是什么原因造成的呢?
回顾智能儿童手表的发展历史,你会发现比较早的360推出第一款产品的时间在2013年,距今不过7年时间。由于国内儿童电子产品起步早、移动端设备(手机、笔记本电脑)发展迅猛等原因,智能儿童电子手表发展速度极快,现在已经形成品牌垄断。
发展迅猛的弊端是对市场的教育不足,拿手机来做比,千元机是新机的门槛,这是所有消费者认可的,这个消费习惯经过了手机行业十几二十年的调教。换成智能儿童手表,短短7年时间不足以让消费者形成这样的消费门槛观念,所以质量参差的低配表仍占有一定的市场。
与手机最初的发展情况类似,儿童手表的山寨货也很多,而且比起手机,手表的山寨更容易。就像新闻里提到的,2013年的安卓4.4都可以拿来做成手表系统,另外再添个摄像头、扬声器,一块“合格”的儿童手表就做出来了。这样的低质产品安全隐患很大,这些假冒伪劣的商品厂家是破坏儿童手表生态的罪魁祸首。
好消息是,315曝光之后,国家马上立项调查、整治行业,这些伪劣产品将被清理出局。
2022年3月16日,工业和信息化部针对智能儿童手表安全防护问题进行严厉查处,组织开展全面排查和专项治理,强化技术检测和监督检查,对安全能力不达标的儿童专用移动智能终端,将责令停止销售并依法处置涉事企业,切实保障未成年人权益。
相信有了监管的红线,儿童手表的安全性一定会越来越高,来看看各大品牌牌厂家是如何保证儿童手表安全性的吧。
智能儿童手表的安全系统安卓系统具有开源性,小米在安卓的基础上开发出深度定制的MIUI系统用于小米手机,这也意味着手机大厂有能力开发出对应的智能手表操作系统,小米的儿童智能手表使用的就是专属定制的米兔系统,高端、低端表型都用的这套系统。
同为手机大厂的华为也一样,它家的低端表使用的是定制的RTOS系统,RTOS系统是自安卓和苹果IOS之后的第三种智能手表系统,它的优势是实时高效,稳定性更高,但性能逊于分时系统的安卓。在高端表上,它家用的还是安卓,笔者查的一款使用的是安卓8.1的系统。
跟小米、华为比较贴近的360,它家没有操作系统的开发,所以全平台搭载的都是安卓系统。不过鉴于360安全软件的出生,它对系统安全性的把控肯定很强,这一点毋庸置疑。
最后再说一说小天才这类的老牌儿童电子产品企业,小天才儿童手表是步步高旗下的公司,儿童电子产品开发经验非常丰富,它家低端表使用的也是专属定制的RTOS系统,高端表用的安卓系统。
从智能儿童手表使用系统上可以看出,性能更佳、通用性更强的安卓系统多用于高端表,为了保证安全性,安卓系统的更新维护也比较勤,成本比较高。而图便宜直接移植安卓系统的杂牌厂家就缺乏维护升级的能力,所以生产的儿童手表会存在较大的系统安全问题。
在低端表领域,有能力的厂家会开发自家的定制系统,经过厂家定制开发后,这些操作系统就会与大陆货色有所区别,安全等级也上升了许多。比起高端表,低端表胜在系统简单、稳定,维护成本低。
写在最后:选智能表和选手机一样,千万别图便宜用杂牌,大厂有能力对系统进行维护更新,能最大程度的保证儿童智能手表的安全性,希望大家能引起重视。
315曝光,APP不授权就闪退,低配儿童手表成偷窥器,究竟是谁的锅
315曝光了低配儿童手表因为安卓系统低,容易被病毒软件攻击的事件,伪装的恶意程序借用扫码抽奖的套路吸引小朋友扫码下载恶意程序。每一次抽奖,模拟测试的工程师都能获取位置、通讯录、通话记录等实时信息,并且获权使用录音和摄像头,监控孩子的一举一动。这不禁让人产生疑问:儿童手表就那么容易被控制吗?手机权限为什么说获取就获取,说是安卓版本低那为什么以前的手机就没事呢?儿童手表就没有杀毒软件、安全系统吗?
儿童手表安全问题可是关乎中国数千万儿童的隐私,如果落入坏人手里,被用于敲诈、勒索、拐卖、绑架,后果将不堪设想。想想受过高等教育的大学生,阅历丰富的成年人都会被电信诈骗,犯罪分子想从孩子那里获取什么,那不是更简单?
儿童手表的系统安全问题必须要重视,不止要引入杀毒软件和保护系统,家长更要教导孩子不要轻易相信手机中陌生人,警惕如扫码抽奖等诈骗套路。
根据新闻中工程师模拟的套路,恶意软件通过扫码下载到手表,然后就获取了摄像、录音等权限,这里面漏掉了关键的一步——安装和授权。
早期的安卓版本存在一个很直白的漏洞,安装在系统上的软件可以直接请求并获取手机的各种权限,比如说存储的信息,有些人记不住密码喜欢把它存在手机上方便随时查看,这就可能被软件访问存储信息的时候读取到,从而盗取账号或者钱财。
用过早期安卓手机的应该知道,以前安装软件并没有“授权请求”这一步,直接点击安装就可以,手机也不会提示“是否对它开放某某权限”。不过,现在这种情况基本不会发生了,随着安卓系统的升级迭代,这个漏洞基本已经填补上了。
新闻中提到的儿童手表的操作系统安卓4.4是2013年的产物,笔者自己还用过更老的安卓版本,自己都可以下载一个刷机软件获取安卓的ROOT权限,也就是最高权限,可想而知它的安全系数是有多低。以现在的技术力去破解以前的安卓系统那可太容易了。
就安全风险而言,系统版本越老旧,恶意软件侵入的概率就越高,系统漏洞也更多。
回到问题开头提到的授权,现在软件安装肯定有“授权询问”这一步,但因为用户正想使用这个软件,所以肯定会三下五除二的把授权全通过了,这就相当于默认开放这些权限给软件。如果这是个恶意软件,它就可以借这些权限“偷偷”干一些见不得人的勾当,作为手机的使用者,你很难察觉软件什么时候调用了这些权限。
而且你会发现,现在的很多软件只要你不授权,它还给你闹脾气玩闪退,你要用这个软件还不得不进行这样那样的授权,这样的软件就是一流氓。
所以,低配儿童手表成“偷窥器”的两个原因,一是安卓版本低漏洞太多,容易被恶意软件侵入;二是授权问题,要使用软件就要授权,别说孩子不懂这些,就算他懂,也会被免费领玩具这些套路引诱从而“默认”安装。
而造成大量低配低价、存在安全问题的儿童手表流入市场的原因是什么?这个问题值得深入研究。
聚焦儿童手表市场,大致可把手表厂商分为三类,一类是小天才儿童手表这种专精儿童电子产品开发的实力厂商;一类是小米、华为、360这类移动端电子产品巨头和互联网公司,做下级市场开发的儿童手表;最后一类是没有品牌背书,走低端路线的儿童手表厂商。
打开网购平台,搜索“儿童手表”就能看到上述的各种儿童手表品牌。我们先从价格比较透明的小天才、小米、华为儿童手表入手,界定下什么价位的儿童手表算低配。从现实价格定位来看,300元是这两类儿童手表品牌给到的价格底线,那300元以下的产品将被定义为低配、低价。
为什么这么说呢?试想一下,当消费者有300元以上的购物预算,它会选择没有品牌背书的产品吗?所以,300元是儿童手表保质消费的门槛。
有了消费门槛,消费者认可吗?从实际情况来看,那肯定是有相当一部分人不认可的,这是什么原因造成的呢?
回顾智能儿童手表的发展 历史 ,你会发现比较早的360推出第一款产品的时间在2013年,距今不过7年时间。由于国内儿童电子产品起步早、移动端设备(手机、笔记本电脑)发展迅猛等原因,智能儿童电子手表发展速度极快,现在已经形成品牌垄断。
发展迅猛的弊端是对市场的教育不足,拿手机来做比,千元机是新机的门槛,这是所有消费者认可的,这个消费习惯经过了手机行业十几二十年的调教。换成智能儿童手表,短短7年时间不足以让消费者形成这样的消费门槛观念,所以质量参差的低配表仍占有一定的市场。
与手机最初的发展情况类似,儿童手表的山寨货也很多,而且比起手机,手表的山寨更容易。就像新闻里提到的,2013年的安卓4.4都可以拿来做成手表系统,另外再添个摄像头、扬声器,一块“合格”的儿童手表就做出来了。这样的低质产品安全隐患很大,这些假冒伪劣的商品厂家是破坏儿童手表生态的罪魁祸首。
好消息是,315曝光之后,国家马上立项调查、整治行业,这些伪劣产品将被清理出局。
相信有了监管的红线,儿童手表的安全性一定会越来越高,来看看各大品牌牌厂家是如何保证儿童手表安全性的吧。
安卓系统具有开源性,小米在安卓的基础上开发出深度定制的MIUI系统用于小米手机,这也意味着手机大厂有能力开发出对应的智能手表操作系统,小米的儿童智能手表使用的就是专属定制的米兔系统,高端、低端表型都用的这套系统。
同为手机大厂的华为也一样,它家的低端表使用的是定制的RTOS系统,RTOS系统是自安卓和苹果IOS之后的第三种智能手表系统,它的优势是实时高效,稳定性更高,但性能逊于分时系统的安卓。在高端表上,它家用的还是安卓,笔者查的一款使用的是安卓8.1的系统。
跟小米、华为比较贴近的360,它家没有操作系统的开发,所以全平台搭载的都是安卓系统。不过鉴于360安全软件的出生,它对系统安全性的把控肯定很强,这一点毋庸置疑。
最后再说一说小天才这类的老牌儿童电子产品企业,小天才儿童手表是步步高旗下的公司,儿童电子产品开发经验非常丰富,它家低端表使用的也是专属定制的RTOS系统,高端表用的安卓系统。
从智能儿童手表使用系统上可以看出,性能更佳、通用性更强的安卓系统多用于高端表,为了保证安全性,安卓系统的更新维护也比较勤,成本比较高。而图便宜直接移植安卓系统的杂牌厂家就缺乏维护升级的能力,所以生产的儿童手表会存在较大的系统安全问题。
在低端表领域,有能力的厂家会开发自家的定制系统,经过厂家定制开发后,这些操作系统就会与大陆货色有所区别,安全等级也上升了许多。比起高端表,低端表胜在系统简单、稳定,维护成本低。
写在最后:选智能表和选手机一样,千万别图便宜用杂牌,大厂有能力对系统进行维护更新,能最大程度的保证儿童智能手表的安全性,希望大家能引起重视。
3·15晚会曝光|家长警惕:低配的儿童智能手表成“行走的偷窥器”
视频加载中...
如今的儿童智能手表,硬件强大,功能贴心,实时定位、高清双摄、人脸识别、视频通话。孩子们觉得方便好玩,家长们可以随时掌握孩子行踪。
如今,不少低配版的儿童智能手表在各大电商平台畅销热卖。3·15信息安全实验室对此展开了专门的测试。
这款儿童智能手表有着10万+的销售记录。测试人员购买了一只,交给一位小朋友佩戴。测试人员将一个恶意程序的下载二维码伪装成抽奖 游戏 ,贴在了孩子家门口。
这样的抽奖 游戏 ,很容易吸引孩子扫码体验。就这样,恶意程序就轻松进驻到了孩子的智能手表中。
同时, 工程师已经实现了对这款手表的远程控制 。
孩子每次抽奖,恶意程序就自动把手表里的重要信息,如位置、通讯录、通话记录等打包实时发送出去。
玩完抽奖 游戏 ,孩子下楼玩耍,工程师依然可以实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围。
测试人员从后台可以通过多次采集孩子的位置信息来推断,她的家离她的学校其实很近,大概两三百米,5分钟就能走到。
回家后,孩子和姥姥聊天。通过调用手表里的麦克风,身在异处的工程师对谈话内容一清二楚。
饭后,孩子在书桌前做手工。孩子的一举一动也被随时掌握。
为什么这种深受孩子喜爱、家长信任的儿童智能手表会成为一双时刻偷窥的眼睛,如影随形?
测试人员发现, 根本原因就在于它的操作系统过于老旧 。
这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统,距今已将近10年。而它的最新版本已经更新到了安卓12。
只要App申请什么样的权限,安卓4.4操作系统就会给App什么样的权限,也不会有任何的告知用户和得到用户授权同意的环节。
在如此低版本的儿童手表上,各种App安装后,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。这也就意味着它们能轻易获取孩子的位置、人脸图像、录音等隐私信息。
这些厂家选用低版本的操作系统是出于压低成本的考虑。但是它忽略了用户使用的安全性,给消费者带来了无穷的后患。
同样是在安卓系统的手机上,安装App时,系统都会有明确提示:用户是否同意授权。
3·15信息安全实验室也对其他低配版的儿童智能手表进行测试。
这款儿童智能手表使用的是安卓9的操作系统,看起来版本较新。
安装App时,系统会弹窗提示是否给予某个权限。可是,用户一旦拒绝授权,App就会闪退,拒绝提供任何服务。
比如,测试人员打开一款叫“天气”的应用程序。它会出现一个弹窗,索要用户的存储权限。如果只查天气,不需要存储和读取用户照片,所以选择拒绝。然后应用程序又索要拨打电话权限,这也是一个非必要权限,还是拒绝。再次索要定位权限,也是一个非必要权限,也拒绝。然后这款应用程序就马上闪退了。
如此,消费者只有两种选择,要么完全不用,要么就拿所有的权限去换取服务。
App的强制索权的行为危害性很大。因为用户为了获得服务,一旦妥协把权限给出去,手表里的信息也就交出去了。孩子的地理位置、图片视频、通话录音等隐私将会被收集,孩子的安全隐患可想而知。
转载请注明央视 财经
文章评论