云漏洞暴露了数百万个儿童追踪智能手表

父母会为孩子购买支持GPS的智能手表，以便对其进行跟踪，但是安全漏洞意味着他们并不是唯一能够做到这一点的人。

仅今年一年，研究人员就在许多儿童追踪智能手表中发现了多个漏洞。但是今天的新发现表明，几乎所有的人都在一个通用的共享云平台中隐藏着更大，更具破坏性的漏洞，该平台用于为数百万支持蜂窝功能的智能手表提供动力。

该云平台由中国白标电子产品制造商Thinkrace开发，后者是最大的位置跟踪设备制造商之一。该平台用作Thinkrace制造的设备的后端系统，用于存储和检索位置以及其他设备数据。这家电子制造商不仅将自己的儿童跟踪手表出售给希望与孩子保持联系的父母，而且还将其跟踪设备出售给第三方企业，然后由第三方公司重新包装和重新标记带有自己品牌的设备，以便出售对消费者。

所有制造或转售的设备都使用相同的云平台，从而确保Thinkrace制造并由其客户之一出售的任何带有白标的设备都容易受到攻击。

笔测试合作伙伴的创始人Ken Munro，与TechCrunch完全共享了调查结果。他们的研究发现了至少4700万个易受攻击的设备。

“这只是冰山一角，”他告诉TechCrunch。

智能手表泄漏位置数据

Munro和他的团队发现，Thinkrace制造了360多种设备，主要是手表和其他跟踪器。由于重新贴标签和转售，许多Thinkrace设备的品牌有所不同

Munro说：“品牌所有者通常甚至都没有意识到他们出售的设备都在Thinkrace平台上。”

出售的每个跟踪设备都直接或通过托管在经销商运营的Web域上的端点与云平台进行交互。研究人员一直将这些命令追溯到Thinkrace的云平台，研究人员将其描述为常见的故障点。

研究人员说，控制设备的大多数命令都不需要授权，并且这些命令都有据可查的文件，从而使任何具有基础知识的人都可以访问和跟踪设备。而且由于没有随机的帐号，研究人员发现，只需将每个帐号加1，就可以批量访问设备。

这些缺陷不仅使儿童处于危险之中，还使使用该设备的其他人处于危险之中。

在一个案例中，Thinkrace向参加特奥会的运动员提供了10,000个智能手表。研究人员说，但是这些漏洞意味着每个运动员都可以对其位置进行监控。

儿童录音被发现暴露

一家设备制造商购买了转售Thinkrace智能手表之一的权利。像许多其他经销商一样，这个品牌所有者允许父母追踪孩子的下落，并在他们离开父母设定的地理区域时发出警报。

研究人员表示，他们可以通过枚举易于猜测的帐号来追踪任何佩戴这些手表之一的孩子的位置。

该智能手表还允许父母和孩子像对讲机一样互相交谈。但是研究人员发现语音消息被记录并存储在不安全的云中，任何人都可以下载文件。