Wooyun & NumenTeam 聯合出品

0x00 引子

---

這是來自美劇《網路犯罪調查》的一張截圖，講述的是駭客透過入侵了數萬家庭嬰兒監控攝像頭，分析家庭的作息時間，在合適的時機偷出需要的嬰兒，並實時進行全球線上拍賣的故事。

上面的場景哪怕放在兩年前都會顯得有些科幻，但由於近年來智慧硬體熱潮的興起，帶來相關裝置的井噴式發展，使得上面的場景已經完全可以變成現實。只是本文的主角由嬰兒監控攝像頭變成了兒童智慧手錶。

0x01 背景

---

以Apple Watch為代表的智慧手錶行業的興起，帶起了智慧穿戴裝置的一波高潮。當這類技術和特定的人群結合，就形成了各種細分市場，比如老人手錶、運動手錶、兒童手錶。由於開學季，近幾個月來，兒童智慧手錶的市場呈現出爆發的姿勢，行業月出貨量達到百萬以上。家長們也紛紛願意為這個新產品買單，以期收穫一份安心。

這個現象引起了專注智慧硬體安全的NumenTeam（http://numen-team.org）團隊的注意，憑著過往的積累，我們敏銳地感知到，大量湧入的手錶廠商，同時也攜帶了大量的安全問題進入這個領域。孩子是一個家庭的希望，可以說孩子的安全是一個家庭最重要的事情，其重要性遠遠超過隱私洩漏、財產被盜這類傳統安全關注的問題。

在國內知名的安全問題釋出平臺烏雲（http://WooYun.org）上，也出現了不少相關漏洞。有感於這個可能爆發重大安全問題的行業，NumenTeam聯合烏雲平臺對市面上主流的兒童智慧手錶進行了深入的安全問題分析，以期能引起行業關注，儘快修復存在的問題。

為此，我們在淘寶和京東上抽取了部分銷量不錯的兒童智慧手錶品牌作為測試物件，包括：

小天才	阿巴町	三基同創	糖貓
鋒立	開米	一米	平安星
TORO	中興守護寶	童表管家	邦邦熊
庫多啦	微喔 V.WO

市面上的兒童智慧手錶一般主打以下幾個賣點：

1. 實時定位孩子的位置，以及衍生的活動軌跡圖、回家導航、範圍預警等。
2. 發訊息、打電話、SOS向家長求救。
3. 監聽孩子周圍環境的聲音。
4. 孩子運動統計。

可以看到，智慧手錶的功能中實際上包含了孩子非常多的隱私資訊，如果被駭客控制，後果非常嚴重。

0x02 研究方法

---

如果從專業的安全形度來說，評測智慧手錶會涉及到很多細節問題，比如APP安全、Web安全、韌體安全等。為了簡化研究過程，本文從下面四個關鍵維度的結論來評估手錶的安全風險：

1. 是否可以獲取其他兒童的定位資訊
2. 是否可以遠端監聽其他兒童
3. 是否可以切斷家長和兒童的聯絡
4. 是否可以根據家長手機號精確匹配到其孩子

如果上述四個維度都能實現，就意味著引子裡面的電視劇場景可能變成現實。

0x03 結論資料

---

透過對各款手錶的通訊協議和指令系統進行分析和模擬，我們得到的結論非常不樂觀。大部分兒童智慧手錶存在上面提到的一個或多個安全風險。有些品牌甚至全中，對此我們表示非常擔憂。

下面描述一下各個維度常見的問題的部分原因：

1、定位其他兒童

問題1：無需授權繫結裝置

原因：部分品牌存在，只要知道對方手錶序列號，就可以直接繫結手錶獲取資料，沒有要求兒童或者家長側的驗證。

問題2：無需繫結越權查詢

原因：部分品牌的後臺查詢介面，許可權控制不嚴格，透過構造指令可以直接查詢到其他手錶的定位資訊。

2、監聽其他兒童

問題1：無需授權繫結裝置

原因：原因同定位資訊，駭客可以直接繫結手錶，獲取全部許可權。

問題2：後臺許可權判定不嚴格

原因：部分品牌在處理監聽請求時，沒有限制只有來自父母的請求才接受，導致可被駭客監聽。

3、切斷家長和孩子的聯絡

問題1：APP端存在預設密碼

原因：部分品牌為了方便，在父母手機端使用了預設密碼，導致駭客可以簡單修改密碼使得父母無法登入，無法取得兒童的資訊。

問題2：後臺越權修改密碼

原因：部分品牌後臺修改使用者資訊的介面存在許可權控制問題，可以透過特定的方式修改他人帳號資訊和密碼，導致父母無法登入。

4、精確匹配家長和兒童

問題1：查詢介面暴露過多資訊

原因：部分品牌的資料查詢介面暴露了過多資訊，可能包括家長和孩子的手機號，導致可以做到精確匹配。

5、詳細結論

注：× 表示已發現問題，√ 表示暫未發現，品牌順序和上面品牌列表不對應

	定位兒童	監聽兒童	切斷父母資料	匹配父母孩子
品牌01	√	√	√	√
品牌02	√	√	√	√
品牌03	×	×	×	×
品牌04	×	×	×	×
品牌05	√	√	√	√
品牌06	×	√	√	√
品牌07	√	√	√	√
品牌08	×	×	×	×
品牌09	×	×	√	×
品牌10	×	×	√	×
品牌11	√	√	√	√
品牌12	×	×	×	√
品牌13	×	√	×	√
品牌14	×	×	×	√
合計	9	7	6	5

0x04 細節舉隅

---

1. 越權查詢

由於智慧手錶的方案商多數屬於傳統廠商，網際網路安全意識這塊相對薄弱，導致許多產品連最基本的賬戶許可權控制都沒有做。只需要修改web api的指令引數，就可以獲得其他裝置的詳細資訊。

例如呼叫某款智慧手錶的reqDeviceInfo指令，修改引數 device_id。

就可以拿到非常敏感的資訊，包括家長和孩子的手機號、頭像等。

2. 裝置遍歷

越權問題通常還有個特別親密的小夥伴，就是裝置的遍歷，廠商為了方便，裝置ID往往使用簡單的遞增，最多再加上前字尾的方式。導致把前面越權查詢的問題迅速放大，甚至於可以拉取廠商所有賣出的裝置資訊。

下圖是從某廠商的資料介面中讀出的部分定位資料：

上面的簡單資料或許不會感覺太明顯。為了直觀表示，這裡抽取了部分定位資料，繪製了京津唐地區的實時監控資料圖：

可以看到，駭客完全可以繪製一張實時地圖，來監控全國各地的孩子們，細思極恐。

其實安全問題這邊還有很多細節，由於兒童安全這個問題實在太過敏感，這裡去除了大部分，僅希望這個局面能引起各廠商的重視。

0x05 結語

---

限於研究時間的關係，上面的資料可能只是部分產品的一部分問題而已。還有更多的其他智慧產品在讓我們享受更便利生活的同時，在源源不斷的洩露隱私，導致可能的安全風險。後續相關問題我們也會持續提交到烏雲平臺，為產業的安全能力提升貢獻力量。

作為安全研究人員同時也是一個普通父親，我們對此現狀感到非常擔憂。彷彿看到千千萬萬的孩子處於危險。雖然我們傾向於認為人販子不會擁有這樣的視野和技術，但是在未來的高科技犯罪場景下一切皆有可能。

對此，我們NumenTeam團隊也在積極打造相關的安全服務和產品，希望能幫助安全能力不足的企業，一起努力提升這個行業的安全性，希望引子裡的場景僅僅存在於電視劇而已。