2022年3.15晚会曝光了具有安全风险的儿童智能手表,此款儿童智能手表的价格较低,但号称功能齐全,具备实时定位、移动支付、视频通话、人脸识别、高清拍照、深度防水、App下载等等功能,在电商平台的销量上也达到了10万+的记录。节目曝光,这款儿童智能手表的操作系统使用的是10年前Android发布的4.4.4的版本,与目前最新的移动终端操作系统Android12差距甚远。
此外,节目还曝光了使用了较新版本的移动终端操作系统Android9的儿童智能手表,由于预装的App版本低,存在强制索权,超范围收集的情形。
总之,“低版本”成为了引发安全问题和个人信息泄露隐患的关键。
“低版本”系统和App的主要危害
危害1:问题软件可能被随意安装
如晚会曝光,这款儿童智能手表通过扫码,安装了一个伪装成抽奖软件的恶意软件,手表就立即被远程控制了。与最新版本系统不同,低版本系统不会提示安装软件的安全性,一条短信链接、一个弹窗误点都可能让恶意软件在设备上“住下”。
危害2:不健全的安全防护机制
晚会的演示环节中,“恶意”软件的安装过程没有任何提示,“几行代码”就默认拿到了摄像头、麦克风等敏感权限,模拟“黑客”的技术人员后台的整个远程控制过程手表端没有任何的提示和提醒,这是早期的低版本系统中缺少安全防护的设计所致。高版本的系统在获取敏感权限方面需要用户主动授权,敏感权限的调用也有显著提示。
危害3:低版本App授权机制不完善
如晚会曝光,在一些智能手表上预装的App,“刻意”选用了低版本,因此便出现了打开App需要强制用户对所有敏感权限授权后才使用的情况,这样就会让用户的大量敏感个人信息收集接口向App开放,留下安全隐患。而同样的App,其最新版在手机上使用则没有该情形。
除此以外,由于系统版本低,大量历史漏洞可能被利用。比如,Android4.4.4版本的操作系统上危害最大的漏洞就是Master Key漏洞,除了能够远程控制用户的设备以外,还可能盗取你的支付信息,造成财产的损失。
几点安全建议
“低版本”问题之所以还存在,其中一个重要的原因是:厂家为了降低成本,使用低频率和低功耗的处理器等硬件设备,如果采用高版本的操作系统,使用上就会卡顿,带来不好的操作体验,而低版本的操作系统能够适配低性能的硬件。厂家追求低廉价格的同时,最基本的“安全”被抛之脑后。
对于曝光的问题,以下建议供参考:
1、尽量选择正规厂商的产品
2、使用产品前查看产品的指数、参数,是否和宣传一致
3、尽可能将移动终端操作系统更新至新版
4、用户发现存在强制索权等预装软件的情形可以举报
5、加大力度推进对相关移动智能终端安全标准的制定和推广
6、销售平台对相关产品的安全性进行事前把关,根据投诉举报情况进行事中监督
(本文作者:北京汉华飞天信安科技有限公司 彭根)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。