智能儿童手表家长且用且警惕

□陈  宁

智能儿童手表以安全、便捷为卖点，还带有定位、通话功能，在市场上颇具人气。暑期来临，很多家长觉得，只要让孩子戴上这样的手表，就能随时监控其动向。不过，这样一款“神器”却存在不少安全漏洞，家长们知晓吗？

安全漏洞埋伏在哪？将电话卡放入智能儿童手表，再通过手机下载一个与之匹配的APP，家长的手机就和孩子的手表轻松实现了绑定，不仅能相互打电话、发微信，还能实时定位及监听，被很多家长视为保护孩子安全的利器。但像所有的智能设备一样，它也有软肋。

从2015年开始，陆续有白帽黑客在国内安全平台曝光了厂商服务器的相关漏洞。有的厂商对服务器安全性重视不够，还有的甚至根本不具备自己的服务器，将关键服务外包，无疑给安全带来极大威胁。

因为手表的所有信息都在后台服务器上，黑客利用服务器漏洞越权操作，就可查看客户信息，掌握手表所处的位置，获取儿童日常行走路线、环境录音等隐私。此外，智能儿童手表背后隐藏的其实是一个家庭的信息，一旦家长的手机号码、身份、住址、经常活动的区域等数据被不法分子收集，危险系数极高。

有的智能儿童手表只对手机端进行了身份确认，例如首次登录时需要输入密码等，但对手表端并未进行身份保护，这就给攻击者带来了可乘之机。黑客可以通过修改父母手机客户端的登录密码，切断家长手机和智能儿童手表之间的关联。

利用手表漏洞，黑客通过技术破解后伪装成家长，向手表发出监听请求，手表会主动向黑客手机拨打电话，只要手表处于正常使用状态，黑客就可以在家长和孩子完全不知情的情况下进行窃听和监控，相当于在家里放置了一个定位窃听器。更有甚者，黑客可通过攻击软件从后台直接篡改手表通讯录中的亲属电话。这样一来，当手表上显示着“妈妈”字样的来电时，其实电话那头很可能是一个不怀好意的陌生人，但孩子却难以辨别。

还有的家长因为嫌麻烦，未及时更新智能儿童手表的APP，忽略了增强系统安全性的机会，也很有可能被攻击者钻空子。

如何保障信息安全？作为销售热点，一些电子厂商为尽快占领市场，抱着跟风的心态推出相关产品，有的厂商甚至没有自己的技术团队和独立的服务器。按照法律规定，购买智能穿戴设备的用户既然与厂商建立了买卖合同关系，厂商就有义务保证用户基本的使用安全。

保护用户数据安全，最重要的一点，就是使用加密技术。当数据在儿童手表、手机等终端设备和服务器之间相互传输时，应使用安全的加密通道，防止用户敏感数据被泄露。

同时，各厂商应加强和相关网络安全机构以及公安机关的合作，随时检测产品安全漏洞，及时升级系统。修补安全漏洞的技术门槛并不高，只要厂商重视，通过一些具有网络开发经验的研发人员就能实现。一旦出现因漏洞引发的安全问题，也可以由公安机关及时启动应急响应。

此外，要加强、加快相关行业标准的制定。目前，国家对智能儿童手表等穿戴设备尚未发布统一规范，此类产品在信息安全方面的表现也良莠不齐。此时，市场监管部门不能坐视不管。只有有效的监管制度立刻跟上，并严格落实，才能更好地为孩子们的安全保驾护航。

家长如何选择？无论是家长还是孩子，选购时往往关注的都是产品的外形、功能和使用体验，对于潜在的安全隐患知之甚少。对于厂商而言，在安全上的投入会提升成本，很可能导致在市场竞争中处于劣势，更使得他们缺乏相关动力。眼下，署假来临，家长们又开始担心孩子乱跑发生危险，更倾向于为孩子佩戴智能儿童手表。那么，家长该如何选择呢？

笔者建议，首先，在选购智能儿童手表等穿戴设备时，一定看好这3证：国家3C强制安全认证、无线电发射设备型号准核证、入网许可证。

其次，公信度高、具备研发实力的大品牌也很重要。因为智能儿童手表需要厂商定期对服务器客户端进行检测，信息存储、传输、使用等方方面面都考验着厂商的综合实力。

除此之外，家长们还有必要花时间了解智能儿童手表的信息安全保障技术：一是加密技术，手表与厂商服务器之间的通信是否加密，是否有专属的信息存储方案；二是认证技术，智能儿童手表是否建立了安全的账号认证系统，保证访问孩子数据的只能是家长；三是服务器的抗攻击技术，能否有效抵御黑客入侵。

最后，笔者需要强调的是，在使用时，家长也应做好充足的自我保护，尽量设置数字、大小写字母、特殊字符混合的登录密码，并不定期更换，还要及时更新手机APP。

摘自《保密工作》2016年第7期