IT之家 12 月 30 日音讯,2025 年 12 月 27~30 日在德国汉堡举行的第 39 届混沌通讯大会(39C3)上,德国达姆施塔特工业大学的研讨团队公开了一项惊人的发现:挪威儿童智能手表巨子 Xplora 的产品存在极高危的安全缝隙。
IT之家注:作为在挪威市场占有率极高(4-10 岁儿童中每五人就有一人佩带)的品牌,Xplora 长时间标榜“最高安全规范”,但研讨显现其防御机制极端软弱。黑客使用一个硬编码在体系中的“通用密钥”,可以轻松绕过防护,对一切同类型手表施行无差别进犯。
这一缝隙的发现源于硕士生 Malte Vu 的毕业设计。在导师 Nils Rollshausen 的指导下,Vu 仅用数天便攻破了 Xplora 手表的开发者形式。
令人咋舌的是,该形式仅由一个简略的 PIN 码维护,Vu 仅耗时几小时便经过手动测验破解了该暗码并提取了体系软件。随后的深度剖析提醒了中心问题:厂商在一切同类型设备中使用了完全相同的加密密钥。这在某种程度上预示着,一旦攻破一台设备拿到密钥,就等于拿到了敞开一切设备的“”。
把握通用密钥后,进犯手法变得反常简略且丧命。研讨人员演示指出,进犯者只需经过自动化程序扫描 IMEI(世界移动电子设备识别码)号段,就能确定很多活泼设备。
一旦确定,黑客不仅能实时读取儿童与其爸爸妈妈的私密聊天记录、检查相片和语音备忘录,还能篡改定位数据,乃至伪装成儿童向家长发送虚伪求救信息。反之,黑客也能伪装成家长向儿童发送诱导信息,完全击穿了家庭通讯的安全屏障。
虽然研讨团队早在 2025 年 5 月就向 Xplora 通报了缝隙细节,但厂商的后续处理令人绝望。8 月发布的一次更新仅将 PIN 码延伸至 6 位并约束了测验次数,企图阻挠研讨人员进入开发者形式,却未触及“通用密钥”这一中心危险。面临厂商在 10 月后的“失联”,研讨团队不得不向德国联邦信息安全办公室(BSI)求助。
在监管压力下,Xplora 总算许诺将在 2026 年 1 月发布包括底层安全修正的体系更新。研讨人员强烈建议家长在更新发布后的第一时间来装置。
