黑客如何攻擊智能手表？

　　記者了解到，兒童智能手表都有相應(yīng)的手機(jī)軟件(App)，用于家長(zhǎng)注冊(cè)、綁定手表，在手機(jī)App中可以設(shè)置兒童的姓名、生日等信息，也可以發(fā)送指令，比如查詢(xún)位置、通話等。

　　那么，黑客是如何攻擊智能手表的？

　　西安四葉草信息技術(shù)有限公司高級(jí)安全研究員余俊峰說(shuō)，手機(jī)App中設(shè)置的信息和發(fā)送的指令會(huì)傳到智能手表云端服務(wù)器，云端服務(wù)器和手表之間也相互發(fā)送一些功能指令。

　　“正常情況下，用戶A只能對(duì)自己綁定的智能手表發(fā)送信息和指令，但由于智能手表云端程序沒(méi)有對(duì)用戶身份和要執(zhí)行的指令進(jìn)行權(quán)限判斷，導(dǎo)致用戶A也可以對(duì)未綁定的其他智能手表進(jìn)行操作。這就導(dǎo)致了越權(quán)漏洞。”他說(shuō)。

　　關(guān)于“越權(quán)漏洞”，余俊峰解釋說(shuō)，比如黑客在某銀行有銀行卡，正常情況下只能從自己的銀行卡中取錢(qián)，但黑客把銀行卡號(hào)修改成別人的，從別人的銀行卡上把錢(qián)取出來(lái)了，銀行沒(méi)有判斷取款人是否有權(quán)從這個(gè)銀行卡取錢(qián)，這就是越權(quán)漏洞。

資料圖。隱藏在網(wǎng)絡(luò)中的黑客也有黑白之分。“白帽”為安全而技術(shù)，是網(wǎng)絡(luò)安全的建設(shè)者；“黑帽”為利益而技術(shù)，是網(wǎng)絡(luò)安全的破壞者。

　　廠商設(shè)計(jì)不規(guī)范導(dǎo)致漏洞出現(xiàn)

　　不過(guò)，兒童智能手表的安全問(wèn)題不能簡(jiǎn)單歸結(jié)為技術(shù)問(wèn)題。

　　2015年，國(guó)內(nèi)多個(gè)品牌的兒童智能手表被曝存在“越權(quán)漏洞”。談到這一問(wèn)題，360兒童手表產(chǎn)品總監(jiān)孫浩告訴中新網(wǎng)記者，這其實(shí)是比較低級(jí)的漏洞，能做到這一點(diǎn)的前提是在服務(wù)端接口設(shè)計(jì)上就不規(guī)范，使攻擊者能越過(guò)一些認(rèn)證手段，非法獲取手表的隱私信息。

　　“更進(jìn)一步，根本原因在于2015年兒童手表市場(chǎng)爆發(fā)，很多小的廠商進(jìn)入市場(chǎng)，他們沒(méi)有完善的設(shè)計(jì)研發(fā)能力，采用市面上一些公板方案，在產(chǎn)品的技術(shù)方案設(shè)計(jì)上就有問(wèn)題。”孫浩說(shuō)。

　　余俊峰認(rèn)為，有些廠商為了產(chǎn)品盡早上市占領(lǐng)市場(chǎng)，缺乏足夠的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試時(shí)間，導(dǎo)致漏洞百出；也有些廠商獲知白帽黑客提交的漏洞細(xì)節(jié)后，沒(méi)有采取任何補(bǔ)救措施，對(duì)漏洞置之不理，任由漏洞存在。