智能時代，替孩子的隱私上把鎖

2023-07-11 06:41:14 3

　　近期，與安全相關的各種事件呈井噴式爆發出來，諸如兒童走失、拐賣、綁架等事件仍然屢禁未止，也讓兒童安全問題成為社會熱議的關注點，尤其是極易被忽略的信息安全，同樣不可小覷。種種事件發生的同時，更是為眾多置身事外的父母敲響了警鐘。

　　故此，工作中的家長們對於自己寶貝的安全擔憂，逐漸催生出了兒童安全這一巨大的市場需求，上周的高交會中，央視也專門採訪並報導了相關兒童智能設備，使得整個行業展現在眾人眼中。

　　其中，如今最有代表的兒童智能手錶，這一新型的可穿戴設備應運而生：360兒童衛士，衛小寶，小天才，搜狗糖貓等主打實時定位，語音互聯的兒童智能手錶成為兒童安全市場的新寵，一大批產商進軍兒童智能手錶產業，2015年可謂兒童智能手錶產業爆發的元年，從百度指數可以看到，兒童智能手錶從2015年開始呈幾何倍數上漲。

　　不過近日，央視曝光出兒童智能手錶存在重大漏洞，黑客利用兒童父母的手機號，即可輕鬆破解手機號所關聯的所有兒童智能手錶，獲取其行走路線，甚至竊聽通話!

　　國內網絡安全反饋機構「烏雲漏洞報告平臺」對外描述稱：「淘寶前32位有13款手錶存在接口越權漏洞，可導致超百萬兒童被黑客實時監控，獲取兒童的日常行走軌跡，實時環境聲音等。手錶方案商為深圳三基同創科技有限公司，涉及多個淘寶品牌商。」無疑，這對於主打安全的兒童智能手錶和關心自己寶貝的家長而言，不下於一聲巨響。

　　按照問題的描述，筆者查閱了淘寶「兒童智能手錶」搜索詞下按銷量排序的前40位手錶店鋪，其中不乏小天才、咪咪兔、阿巴町、優者、恆族等品牌，通過與資深業內人士諮詢，這次漏洞事件的影響也逐漸清晰。

　　市面上的兒童智能手錶，多包含通話和定位兩項主打功能，兒童走失後可以通過手錶與家長電話溝通，同時家長可以通過APP端監控兒童的地理坐標，做到對小朋友的定位找尋，確保孩子是否在安全區域內活動等，用過蘋果手機的人都知道蘋果有推廣「Findmyphone(查找我的手機)」這一應用服務，而兒童智能手錶，就相當於是通過手錶來實現「Findmybaby」這一功能，以此來保證孩子的活動安全，此次安全漏洞類型為接口越權漏洞，通俗的說，「就是黑客可以通過家長手機端的監控APP，直接調取兒童手錶的數據接口，做到通過電腦瀏覽器就可以看到小朋友的地理位置，激活手錶通話功能監聽等功能。」一位手錶定位廠商的資深技術總監如是說;這就是說原本如同衛士一般的兒童智能手錶，反而成為了鷹犬一般的存在，「如果這些數據被人販子團夥利用，完全可以掌握孩子上學的地點，住址小區，常去地點，了解是否有家人陪伴(監聽)等信息，完全是一個導航地圖的存在。」

　　面對這樣高隱私度曝光的漏洞，我們不經要問為什麼和怎麼辦這兩個至關重要的問題，家長原本是擔心孩子的安全才購買的兒童智能手錶，反而卻有著淪為人販子找尋小孩利器的可能，本來的保護者，卻成了要時刻小心的「終結者」，這無疑是讓人需要反思的問題。

　　此次披露的漏洞廠商為深圳市三基同創電子有限公司，此公司為兒童定位手錶廠商提供定位主板解決方案，即提供手錶的內置面板給廠商組合成型，「因為是公版公模，便於生產，廠商為了趕生產速度拿到主板直接加工，直接省略了加密步驟，而同時面板商為了出貨量考慮，直接就取消了面板的加密，製造商、加工商同時忽視了面板的加密措施，使得黑客可以毫無顧忌的直接調用到面板的數據接口，取得和家長端等同甚至達到技術人員的控制權限，而這一切，只需要簡單的密碼破解工具就可以完成。」一位APP開發者說道，「這實際上是業內低成本廠商的通病，就是重產量，而忽視最基本的安全問題。」而這個數據交換的過程可以從下圖得知，主要受到影響的為B類手錶廠商用戶。「這就是對於產品質量的標準問題，淘寶廠商對於成本的追求忽略了基本的安全素質，而現在補救已經沒有辦法了。」

　　按照深圳市三基同創電子有限公司官網的介紹，「三基同創從2010年就開始著力研發MTK車載定位主板，採用的是MTK全晶片設計，一直處於行業領跑位置，最大優勢比模塊方案可以做到功耗更低，體積更小，性價比更高。現有多種成熟車載定位、人員定位、定位手機等主板，並長期供應給行業巨頭多家大公司，技術上積累幾家大公司多年寶貴經驗，質量上成熟穩定有保障，為廣大客戶可以大大節省開發時間和成本，又可以避開技術研發的風險，減少公司的投入和開支。」其介紹中的大公司還不得而知，但是可以預見此次漏洞的影響範圍絕對是十分巨大的。

　　筆者聯繫到了兒童智能手錶市場的一大品牌廠商衛小寶，對此次漏洞與衛小寶CEO邵國光進行了溝通，對方表示此次漏洞只是影響到為了成本和出貨的淘寶兒童智能手錶廠商，其公司的衛小寶產品系列，採用的是衛小寶團隊自主開發的「衛小寶私有雲」技術，在家長APP端採用的是電子Token證書的雙重認證模式，與微信登錄的認證原理相同，當家長首次登錄APP時，會獲得遠程下載的電子Token證書存儲在手機中，如同蘋果的TouchID(指紋識別技術)將指紋信息只存在手機中而不上傳遠端避免黑客破解一樣，這樣家長登錄時除了第一層的伺服器密碼認證防護外，還有電子Token證書的防護，保證必須是家長的手機、家長的帳戶密碼雙層驗證通過後才能獲得讀取孩子信息的權限，從而保證了孩子的信息安全;同時在智能手錶端，「衛小寶私有雲」使用的是AdvancedEncryptionStandard(高級加密標準)這一技術發送兒童地理位置到雲端伺服器，作為雙向保護模式，對數據多層加密，從各個渠道保證產品的安全核心理念。

　　同時他還表示當今數據安全，尤其是用戶隱私數據，早已不只只是QQ號，郵箱密碼如此簡單的網際網路服務數據，只在屏幕的另一邊，是一個虛擬的「你」的存在，可穿戴設備因為與用戶生活息息相關，其收集到的數據不僅僅在虛擬的網絡世界，而是活生生的時刻關注著你的生活的高度集中的隱私數據，一個人的作息，活動範圍，出入場合，都可以被可穿戴設備靜默的收集，這些數據存放在哪裡，是否安全，就顯得尤為重要。

　　WEB1.0時代，網站的數據存放在租用的網絡供應商的機房中，只有實力財力巨大的企業，才能自建伺服器進行用戶數據的存放，而一旦資料庫因何種原因洩露，用戶的數據就直接赤裸裸的流放在網絡的地下黑市，而今淘寶的一些低價兒童手邊廠商的伺服器，就是還停留在上個世紀的水平，依舊在老式的機房伺服器存儲中，面對現在超越過去二十年的黑客技術，如同在沒有圍欄中的綿羊，靠著「運氣」這個牧羊人逃避著徘徊在外的一群群餓狼，記錄著兒童在哪裡上學，每天固定上下學路線，作息時間，常去的場所，是否一人獨處的這些如同地圖導航般精確的數據，就被一天天的上傳，收集，但是卻毫無保護的存放在網絡空間中。

　　早在產品設計初始，衛小寶團隊就意識到了用戶數據的安全性，孩子的安全是整個產品設計的核心，而如何保障數據的安全，如何讓家長們放心的將自家寶貝的數據交付給衛小寶，他們給出了自己的答案，拋棄低廉成本的租用模式，每年斥資萬元使用支付寶同級別的阿里雲作為企業數據服務商，同阿里雲達成了商務合作關係，阿里雲特有的「飛天」平臺雲存儲系統可以將成衛小寶的數據分發到成千上萬臺分布在各個數據中心、擁有相同體系結構的機器中，碎片化分布式離散存儲用戶數據，數據交換需要幾十層安全驗證，從雲端到設備再到您身邊，徹底堅守您和孩子的信息安全，堅持貫徹安全才是核心的產品理念。

　　從同衛小寶CEO邵總的交流可以看出，即使有安全漏洞問題的出現，但是堅持產品品質的廠商還是早已就避免了此類漏洞的發生，消費者在選購的時候還是不能只注重產品的價格，更要注重的是其背後的產品服務。而受到此次漏洞波及的消費者，建議去正規渠道購買有品質保證的品牌產品，給孩子們的健康成長一個可靠的保證。