成人777777,69xxx国产,毛片网此,亚洲黄色视屏

　　CQ9電子兒童智能手表爆高危漏洞黑客能輕易追蹤孩子！涉多家中國廠商、4700萬臺設備因一個定位追蹤數(shù)據(jù)庫的暴露，僅通過一部智能手機的精準定位數(shù)據(jù)，短短幾分鐘內(nèi)，美國總統(tǒng)特朗普的一舉一動就被完全鎖定掌握?！都~約時報》在 12 月 20 日刊出的《如何追蹤特朗普》一文，披露了這份重磅級數(shù)據(jù)庫的存在，內(nèi)含 1200 多萬美國人、500 億個定位信號，其中包括很多美國名人、政要的定位信息。

　　由此報道，位置數(shù)據(jù)的重要性可見一斑。試想一下，如果是你家孩子的實時定位信息被陌生人掌握，那該是多可怕的一件事？！

　　實際上，一旦帶有定位追蹤功能的兒童智能手表存在安全漏洞，這樣的事情并不遙遠。包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和國外安全軟件公司，近期相繼曝出多家中國兒童智能手表供應商普遍存在安全防護漏洞問題，據(jù)估計，至少有 4700 萬甚至更多數(shù)量的終端設備可能受此影響。

　　黑客基于這些安全漏洞不僅能檢索或改變兒童的實時 GPS 位置，還可以給他們打電話和或悄悄監(jiān)視孩子的活動范圍，或者從不安全的云端捕獲到基于設備的通話音頻文件。

　　具備定位追蹤功能的兒童智能手表工作原理其實很簡單，很多元器件在市面上十分常見且價格不貴。手表內(nèi)的主板 SOC 模組集成了提供位置的 GPS 模塊，以及向設備提供 GPRS 數(shù)據(jù)傳輸 + SMS 短信功能的 SIM 卡模塊。

　　對兒童智能手表的 SIM 卡或物聯(lián)網(wǎng)卡進行激活，綁定其他手機設備和 APP 程序后就能進行數(shù)據(jù)傳輸，家長在手機上打開相匹配的應用，就能實時得到孩子的位置信息。

　　而常見的漏洞便是出現(xiàn)在設備聯(lián)網(wǎng)之后各項涉及用戶數(shù)據(jù)的交互環(huán)節(jié)，比如用戶注冊登陸過程、與設備關(guān)聯(lián)的 Web 網(wǎng)頁和管理站點、移動應用程序和云之間的通信量，以及 GPS 與云之間的 GPRS 通信量等。

　　安全軟件公司 AVAST Software 通過檢測 Shenzhen i365 Tech 產(chǎn)品相關(guān)的 Web 應用程序發(fā)現(xiàn)，所有的請求都是純文本的標準 JSONAjax（一種輕量級的數(shù)據(jù)交換格式）請求，且所有請求都是未加密和明文的，傳輸信息附帶指定的 ID 號和默認密碼 123456，更值得關(guān)注的是黑客基于這些漏洞可以向設備發(fā)出指令，除了能獲得 GPS 坐標，可能還有更 “黑” 的操作：

　　比如可以讓兒童智能手表撥打存儲名單中的任意電話號碼，一旦連接上，就可以到用戶的語音數(shù)據(jù)，而用戶卻不知情；可以激發(fā)設備 SOS 模式，發(fā)送短信給所有號碼，進而使用 SMS（短信服務）作為攻擊矢量；甚至可以發(fā)送一個 URL 的更新固件允許在設備上安裝新固件，植入一些木馬程序。

　　圖 登陸包和指令請求傳輸過程中的各類數(shù)據(jù)信息，涉及 ID、密碼等用戶敏感信息已打碼（來源 Avast）

　　利用這些漏洞，黑客可以輕而易舉地發(fā)動“MITM 攻擊”（中間人攻擊，一種間接的入侵攻擊方式），通過把黑客控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，結(jié)合用于來回發(fā)送數(shù)據(jù)的不安全協(xié)議，黑客可以使用標準 IP 工具攻擊捕獲所有用戶數(shù)據(jù)。

　　有用戶調(diào)侃，對于這些劣質(zhì)的兒童智能手表，定位不精準或許成了最大優(yōu)點，最起碼被黑客截取信息后，也不能準確找到孩子的位置和行蹤。

　　被外媒和安全公司披露存在安全漏洞的三家公司分別為 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS，經(jīng)查證工商資料，三家都是深圳地區(qū)的科技電子企業(yè)。

　　Thinkrace 是深圳市尚銳科技有限公司，3G ELECTRONICS 是深圳市三基同創(chuàng)電子有限公司，而 Shenzhen i365 Tech 從其官網(wǎng)展示信息線索看，關(guān)聯(lián)的公司主體或為深圳市叁創(chuàng)新科技有限公司和深圳市叁陸伍物聯(lián)科技有限公司。

　　三家公司旗下都有一塊相似的業(yè)務板塊，即生產(chǎn)銷售 GPS 跟蹤器和智能穿戴，包括相關(guān)的軟硬件開發(fā)解決方案，提供 OEM/ODM 服務，基于現(xiàn)成的產(chǎn)品技術(shù)方案，第三方經(jīng)營者可以輕易地貼牌進行轉(zhuǎn)賣銷售，很多客戶都在海外，包括北美和歐洲許多國家地區(qū)。

　　Thinkrace 應該是三家公司中最大的一家。資料顯示，該公司成立于 2006 年，專門從事智能穿戴設備、車聯(lián)網(wǎng)等產(chǎn)品的設計、制造和整合行業(yè)解決方案，據(jù)悉每年能生產(chǎn)交付超過 300 萬臺物聯(lián)網(wǎng)設備，還曾作為 2019 年世界夏季特奧會指定穿戴設備供應商。

　　而據(jù) Techcrunch 報道，很多 Thinkrace 生產(chǎn)或貼牌轉(zhuǎn)售的設備，背后都關(guān)聯(lián)到一個不安全的云平臺上。

　　Thinkrace 云平臺的安全漏洞主要是因為云端 API 調(diào)用和加密的問題，沒有采用 SSL 加密（一種為保護敏感數(shù)據(jù)在傳送過程中的安全而設置的加密技術(shù)），暴露了一些密碼和數(shù)據(jù)的明文傳輸漏洞，然后調(diào)用 API 的時候也沒有做動態(tài)的校驗。

　　關(guān)于安全漏洞問題，DeepTech 聯(lián)系到 Thinkrace 公司負責人唐日新（RickTang）。他回應稱，目前在自己公司管控范疇內(nèi)的安全漏洞其實都已經(jīng)進行了排查修復。

　　唐日新表示，現(xiàn)在的數(shù)據(jù)相關(guān)環(huán)節(jié)都已進行了加密和動態(tài)校驗部署CQ9電子官網(wǎng)。比如采用了比較成熟的 Web API Token 方式，第三方想要調(diào)用數(shù)據(jù)需要申請一個 Token，且驗證會有時間限制，對一些數(shù)據(jù)進行了安全保護的強化，如果驗證超時則需要請求一個新的 Token 才能調(diào)用數(shù)據(jù)。

　　但這次安全漏洞的修復并不能完全覆蓋所有 Thinkrace 之前生產(chǎn)的設備，原因是在云服務和軟件開發(fā)層面，實際上有不少 Thinkrace 的第三方客戶會自己去做開發(fā)，包括 APP、云服務和一些新增軟件功能，Thinkrace 只提供了硬件設備的方案或產(chǎn)品制造，因此無法保障他們產(chǎn)品數(shù)據(jù)的安全性，這部分設備銷售出去也不在其控制范圍之內(nèi)。

　　另外，世界各國對于信息數(shù)據(jù)安全的標準和要求不同，很多歐洲客戶不僅是要求保證 API 和云服務的安全。比如歐盟目前實施的 GDPR 通用數(shù)據(jù)保護條例，包括 Google 和 Facebook 等科技巨頭都會時常遭到訴訟，動輒要面臨數(shù)十億歐元的罰款，歐美地區(qū)的法規(guī)監(jiān)管相對會更嚴格一點。

　　而數(shù)據(jù)安全漏洞不僅包括數(shù)據(jù)的傳輸環(huán)節(jié)，也涉及怎么使用數(shù)據(jù)，使用哪些類型的數(shù)據(jù)，使用數(shù)據(jù)的存活是多長時間，有沒有向用戶如實披露，用戶能不能徹底清理數(shù)據(jù)，企業(yè)要用這些數(shù)據(jù)做什么事情等等，這些環(huán)節(jié)都存在用戶數(shù)據(jù)被泄漏的風險。

　　“我們不能保證每個客戶都能按照 GDPR 的標準去執(zhí)行落實，但在歐洲，我們會盡量協(xié)助客戶一起去做好數(shù)據(jù)安全系統(tǒng)的完善。”唐日新說。

　　DeepTech 也嘗試聯(lián)系 Shenzhen i365 Tech 和 3G ELECTRONICS 等詢問其安全漏洞相關(guān)解決措施，截至發(fā)稿前尚未收到回應，其安全問題可能仍未得到有效解決。

　　據(jù)業(yè)內(nèi)人士介紹，全球兒童智能手表大概有 90% 來自深圳，很多雜牌兒童智能手表的開發(fā)方案幾乎沒有什么技術(shù)門檻，堪稱“地攤貨”，尤其是在電子產(chǎn)品產(chǎn)業(yè)鏈完備的深圳地區(qū)，山寨小廠非常多，很多百元左右的智能手表硬件模塊大多是由劣質(zhì)甚至二手零件拼裝，一只手表的成本最低只有十幾元，背后的技術(shù)團隊能力水平很低，數(shù)據(jù)安全根本無從談起。

　　2018 年 5 月，深圳市消委會曾牽頭編制發(fā)布《深圳市兒童智能手表標準化技術(shù)文件》團體標準，試圖從產(chǎn)業(yè)鏈層面解決行業(yè)無標準、無監(jiān)管以及山寨雜牌橫行的亂象，文件里概括性提到了在終端、客戶端、安全管理平臺、數(shù)據(jù)傳輸?shù)葘用娴男畔踩?，但關(guān)于這些安全要求細則怎么真正落實到相關(guān)企業(yè)，形成最好的治理效果仍需結(jié)合多種政策手段進行推進。

　　國內(nèi)兒童智能手表目前只有極少品牌有實力配備完善的硬件、軟件、ROM、云服務等高質(zhì)量的運維開發(fā)團隊，大部分雜牌兒童智能手表為了降低成本，都是使用的現(xiàn)成解決方案貼牌跑銷量為主，包括手表的系統(tǒng)、APP 以及共用的服務器后臺接入，如果源頭廠商對安全性不夠重視，下游市場必然安全漏洞百出，混亂一片。

　　對于企業(yè)來說，兒童智能手表雖然是兒童產(chǎn)品，但絕不能以糊弄小孩的心態(tài)來做，做兒童智能產(chǎn)品，反而需要實施更嚴格和完備的產(chǎn)品安全標準，來為孩子們真正撐起一把保護傘。