这个故事是关于我想如何在新技术的帮助下使孩子的生活更加安全以及它带来了什么。 我想虽然标题是您已经猜到将要讨论的内容。
9月1日临近,作为未来一年级生的父亲,我想知道如何让他的孩子,我的妻子和我尽可能平静地上学。
我认为没有人没有听说过像儿童智能手表这样的新产品。 市场上充斥着许多通常在中国制造的设备选项。 这些设备的价格和功能各不相同,但其中最好的功能包括诸如电话,GPS跟踪器,即时通讯工具,相机,计步器等功能,当然还有时钟。 根据制造商的说法,此小工具专为儿童设计,并具有儿童安全功能。 所以我想,所以我开始在Internet上选择适当的选项。 结果,我从Elari那里购买了FixiTime 3手表。
这款手表的功能令人印象深刻:
- GPS / LBS / Wi-Fi跟踪
- 2个摄像头,可从连接的智能手机访问观看摄像头
- 支持呼入和呼出语音呼叫,包括隐藏
- 语音聊天
- 计步器
- 好吧,里面的Fixies,就像没有它们
所有这些丰富的手表功能使父母相信,即使他们不完整,也可以获得对孩子的相当大的控制权。 但是,另一方面,具有这种功能的设备应可靠地保护其用户的数据。 而且,这样的用户是孩子。 很难想象如果攻击者获得了对儿童设备的访问权并可以对其进行监视的情况,将会发生什么。
受这些想法的折磨,我决定检查使用购买的手表的安全性。
从Apple Store安装Elari SafeFamily应用程序并通过QR代码添加手表后,我在笔记本电脑上启动了Fiddler并开始分析流量。 该应用程序将数据发送到服务器http://wherecom.com 。 我注意到的第一件事是使用了常规的HTTP协议,没有流量加密,也没有HTTPS或SSL Pinning 。 一个令人震惊的念头悄悄涌入我的眼中,事情不会就此结束。
原来如此。 继续分析请求并替换其中的参数,我发现了第一个漏洞。 因此,要求
http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222
: , , , , , , , — QR . , , . , monitorId , .
, , .
, , , GPS , (, , ). QR . , QR , , . , .
, , API , .
, , , , , . Elari, , Wherecom.
, , phpMyAdmin, phpinfo.
. , , . , , ? , . , , , .
, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .
, . Elari. , , .
Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .
. API. , - , .
, , , HTTPS SSL Pinning . , . , . . .
Upd. 04.09.2018
HTTPS, SSL Pinning .