低配儿童智能手表成行走的偷窥器 安卓4.4敏感权限无需授权

 

 

1、部分低配儿童智能手表成了“行走的偷窥器”

 

如今的儿童智能手表，硬件强大，功能贴心，实时定位、高清双摄、人脸识别、视频通话。孩子们觉得方便好玩，家长们可以随时掌握孩子行踪。

 

如今，不少低配版的儿童智能手表在各大电商平台畅销热卖。3·15信息安全实验室对此展开了专门的测试。

 

这款儿童智能手表有着10万+的销售记录。测试人员购买了一只，交给一位小朋友佩戴。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏，贴在了孩子家门口。

 

这样的抽奖游戏，很容易吸引孩子扫码体验。就这样，恶意程序就轻松进驻到了孩子的智能手表中。

 

同时，工程师已经实现了对这款手表的远程控制。

 

孩子每次抽奖，恶意程序就自动把手表里的重要信息，如位置、通讯录、通话记录等打包实时发送出去。

 

玩完抽奖游戏，孩子下楼玩耍，工程师依然可以实时定位，不间断收集孩子的移动轨迹，轻松圈定孩子的活动范围。

 

测试人员从后台可以通过多次采集孩子的位置信息来推断，她的家离她的学校其实很近，大概两三百米，5分钟就能走到。

 

回家后，孩子和姥姥聊天。通过调用手表里的麦克风，身在异处的工程师对谈话内容一清二楚。

 

饭后，孩子在书桌前做手工。孩子的一举一动也被随时掌握。

 

为什么这种深受孩子喜爱、家长信任的儿童智能手表会成为一双时刻偷窥的眼睛，如影随形？

安卓4.4敏感权限无需授权
 

测试人员发现，根本原因就在于它的操作系统过于老旧。

 

这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统，距今已将近10年。而它的最新版本已经更新到了安卓12。

 

只要App申请什么样的权限，安卓4.4操作系统就会给App什么样的权限，也不会有任何的告知用户和得到用户授权同意的环节。

 

在如此低版本的儿童手表上，各种App安装后，无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。这也就意味着它们能轻易获取孩子的位置、人脸图像、录音等隐私信息。

 

这些厂家选用低版本的操作系统是出于压低成本的考虑。但是它忽略了用户使用的安全性，给消费者带来了无穷的后患。

 

同样是在安卓系统的手机上，安装App时，系统都会有明确提示：用户是否同意授权。

 

现在大家非常重视手机App的监管，从技术原理上来讲，手机端的很多标准要求放到智能终端上是完全适用的。可能还是关注度不够的问题，让这一类智能终端在个人信息的保护上成为一个重灾区。

 

3·15信息安全实验室也对其他低配版的儿童智能手表进行测试。

 

这款儿童智能手表使用的是安卓9的操作系统，看起来版本较新。

 

安装App时，系统会弹窗提示是否给予某个权限。可是，用户一旦拒绝授权，App就会闪退，拒绝提供任何服务。

 

比如，测试人员打开一款叫“天气”的应用程序。它会出现一个弹窗，索要用户的存储权限。如果只查天气，不需要存储和读取用户照片，所以选择拒绝。然后应用程序又索要拨打电话权限，这也是一个非必要权限，还是拒绝。再次索要定位权限，也是一个非必要权限，也拒绝。然后这款应用程序就马上闪退了。

 

如此，消费者只有两种选择，要么完全不用，要么就拿所有的权限去换取服务。

 

App的强制索权的行为危害性很大。因为用户为了获得服务，一旦妥协把权限给出去，手表里的信息也就交出去了。孩子的地理位置、图片视频、通话录音等隐私将会被收集，孩子的安全隐患可想而知。

 

2、印度常驻联合国代表：要确保全面有效执行《生物和毒素武器公约》

 

当地时间11日，联合国安理会应俄罗斯的要求以“对国际和平与安全的威胁”为题举行会议。印度常驻联合国代表蒂鲁穆尔蒂表示，重要的是确保在文字和精神上全面有效地执行《生物和毒素武器公约》，任何与《生物和毒素武器公约》义务有关的事项都应按照公约的规定执行，并通过有关各方的协商和合作来解决。印度真诚希望正在进行的俄罗斯和乌克兰的直接谈判能停止敌对行动，解决危机除了外交和对话的道路别无选择。目前特别需要紧急关注严峻的人道主义危机。

 

3、深圳证监局决定对陈南鹏采取监管谈话措施

 

深圳证监局称，陈南鹏制作并在公司微信群发布的《仁者无敌-2022中国股市预测》被转发并对外传播，相关预测对行业、市场的评论意见不审慎，将股票根据五行属性分类进行分析，投资建议不具有合理依据。上述行为违反了《证券投资顾问业务暂行规定》（证监会公告〔2020〕20号）第四条、第十六条的相关规定。根据《证券投资顾问业务暂行规定》第三十三条，深圳证监局决定对其采取监管谈话的行政监管措施。

 

4、泽连斯基：吸纳乌克兰加入欧盟是对欧洲的最终考验

 

当地时间3月10日晚，乌克兰总统泽连斯基在视频讲话中重申，吸纳乌克兰加入欧盟是对欧洲的最终考验。泽连斯基说，今明两天将讨论乌克兰的入盟问题。在欧盟各国领导人中，有支持我们的人，也有只支持自己的人。我相信他们正在做出调整，但请尽快。

 

5、小米联合创始人王川退出小米消费金融公司董事

 

近日，小米消费金融主体公司重庆小米消费金融有限公司发生工商变更，小米联合创始人王川退出董事职位，新增季春江为董事。重庆小米消费金融有限公司成立于2020年5月，法定代表人洪锋，注册资本15亿，经营范围含发放个人消费贷款；接受股东境内子公司及境内股东的存款；向境内金融机构借款；与消费金融相关的咨询、代理业务等。