云漏洞暴露了数百万个儿童追踪智能手表

 
父母给孩子买了支持GPS的智能手表，但他们存在安全漏洞，因此并不是唯一能做到这一点的人。
仅今年这一年，研究人员就在许多儿童追踪智能手表中发现了几个漏洞。但是今天的新发现表明，几乎所有的人都在一个通用的共享云平台中隐藏着更大，更具破坏性的漏洞，该平台用于为数百万支持蜂窝功能的智能手表提供动力。
该云平台由中国白标电子产品制造商Thinkrace开发，后者是最大的位置跟踪设备制造商之一。该平台用作Thinkrace制造的设备的后端系统，用于存储和检索位置以及其他设备数据。这家电子制造商不仅将自己的儿童跟踪手表出售给希望与孩子保持联系的父母，而且还将其跟踪设备出售给第三方企业，然后由第三方公司重新包装和重新标记带有自己品牌的设备，以便出售对消费者。
所有制造或转售的设备都使用相同的云平台，从而确保Thinkrace制造并由其客户之一出售的任何带有白标的设备都容易受到攻击。
Pen Test Partners的创始人Ken Munro与TechCrunch专门分享了研究结果。他们的研究发现了至少4700万个易受攻击的设备。
“这只是冰山一角，”他告诉TechCrunch。
智能手表泄漏位置数据
Munro和他的团队发现，Thinkrace制造了360多种设备，主要是手表和其他跟踪器。由于重新贴标签和转售，许多Thinkrace设备的品牌有所不同
Munro说：“品牌所有者通常甚至都没有意识到他们出售的设备都在Thinkrace平台上。”
出售的每个跟踪设备都直接或通过托管在经销商运营的Web域上的端点与云平台进行交互。研究人员一直将这些命令追溯到Thinkrace的云平台，研究人员将其描述为常见的故障点。
研究人员说，控制设备的大多数命令都不需要授权，并且这些命令都有据可查的文件，从而使任何具有基础知识的人都可以访问和跟踪设备。而且由于没有随机的帐号，研究人员发现，只需将每个帐号加1，就可以批量访问设备。
这些缺陷不仅使儿童处于危险之中，还给使用这些设备的其他人带来风险。
在一个案例中，Thinkrace向参加特奥会的运动员提供了10,000个智能手表。研究人员说，但是这些漏洞意味着每个运动员都可以对其位置进行监控。
儿童录音被发现暴露
一家设备制造商获得了转售其中一部Thinkrace智能手表的权利。像许多其他经销商一样，这个品牌所有者允许父母追踪孩子的下落，并在他们离开父母设定的地理区域时发出警报。
研究人员表示，他们可以通过枚举易于猜测的帐号来追踪任何佩戴这些手表之一的孩子的位置。
该智能手表还允许父母和孩子像对讲机一样互相交谈。但是研究人员发现语音消息被记录并存储在不安全的云中，任何人都可以下载文件。
TechCrunch收听了随机选择的几张录音，并且可以听到孩子通过该应用与父母交谈。
研究人员将这些发现比喻为CloudPets，这是一种与互联网相连的玩具熊般的玩具，该玩具在2017年使他们的云服务器不受保护，暴露了200万儿童语音记录。
约有500万儿童和父母使用经销商出售的智能手表。
披露w鼠
研究人员在2015年和2017年向包括Thinkrace在内的多家白标电子产品制造商披露了该漏洞。
一些经销商修复了其易受攻击的端点。在某些情况下，为保护易受攻击的端点而采取的修复措施后来被撤销。但是许多公司只是忽略了警告，促使研究人员将他们的发现公开。
Thinkrace的发言人Rick Tang没有回应置评请求。
Munro说，虽然人们认为漏洞并未得到广泛利用，但诸如Thinkrace之类的设备制造商“需要变得更好”，以构建更安全的系统。 Munro表示，在那之前，业主应停止使用这些设备。