具有追踪功能的儿童智能手表近年来越来越受到家长们的欢迎，它能让父母知晓孩子的实时位置，在儿童安全性上为父母提供相当大的便利性。但近日在对市场上一个受欢迎的电子品牌——Misafes的调查后发现，其智能儿童手表中存在一个漏洞，可以让其他人访问跟踪功能，这最终可能会威胁到儿童的人身安全。研究人员的建议是停止使用这种手表，因为当前没有缓解措施。

Misafes的Child Watcher电子手表能为父母提供通过SIM卡和手机连接进行双向通话的功能，以及一个随附的应用程序，供家长跟踪孩子的位置，但其市场售价不到10欧元。

Pen Test Partners的研究人员发现，该产品简直是为跟踪狂或恋童癖量身订做的理想作案工具：它不光能允许黑客远程检索儿童手表的实时GPS坐标，还可以通过手表呼叫孩子，窃听谈话并拦截他们的个人信息，例如姓名，年龄和性别等。

本周四，Pen Test Partners的研究员Alan Monie在一篇文章中概述了他是如何利用不安全的直接对象引用(IDOR)对手表发起攻测的。

当内部实现对象(如文件或数据库)公开给用户而不使用任何其他访问控制时，就会发生IDOR攻击。攻击者可以操纵这些引用来访问未经授权的数据，并从中执行各种恶意操作。

在（使用Burp）代理iOS MiSafes的app后，Monie发现流量未被加密——这意味着个人信息，例如个人资料图片、姓名、性别、出生日期、儿童的身高和体重都在互联网中以明文的形式传输。

更糟糕的是，API执行的唯一检查是将用户ID与跟踪器上的session_token参数匹配。因此，攻击者通过简单更改API的get_watch_data_latest参数中的family_id，就可以查找与该家庭相关联的手表位置和device_id。

Monie表示，

family_id是按顺序生成的，当将其与另一个相同的family_id交换时，就能够获得另一块手表的位置数据，同时会返回了一个device_id，我们可以用它来获取孩子的电话号码。

Monie能够查看手表近乎实时的位置数据(因为它每隔5分钟就会把GPS坐标更新到API)，以及手表所在地之前的位置数据。

Monie曾多次尝试与Misafes联系，但没有得到过该公司的回应。但这款产品已经从eBay和亚马逊上撤下。

Monie表示，这个安全故障很难修复，并建议消费者停止使用这款手表：

API的问题MiSafes或许能修复好，但该设备使用内部白名单来决定是否允许孩子接听电话，这个问题较为棘手。MiSafes需要更新所有手表中的固件。我们的建议是停止使用这款手表。

许多物联网设备并不安全，尤其是一些儿童使用的设备，可能会具有一些隐藏风险。去年，与CloudPets相连的泰迪熊玩具就发生过一次重大的数据泄露事件，220万父母和孩子之间的录音遭到暴露。而其他一些联网的玩具中也发现过类似的隐私问题，例如Genesis Toys的My Friend Cayla娃娃（已在德国被禁止）和Mattel的Hello Barbie娃娃。

Monie表示，

遗憾的是，在消费者或行业组织开始要求达到某些安全标准或供应商发布安全测试报告之前，市场竞争将优先于安全性。有这么多便宜的物联网设备，安全研究人员无法对它们进行全面测试。希望其他国家能效仿德国的做法，严格控制销售权限，这才可能会给制造商带来压力。