山東
IT之家 12 月 30 日消息,2025 年 12 月 27~30 日在德國漢堡舉辦的第 39 屆混沌通信大會(39C3)上,德國達姆施塔特工業大學的研究團隊公開了一項驚人的發現:挪威兒童智能手表巨頭 Xplora 的產品存在極高危的安全漏洞。
IT之家注:作為在挪威市場占有率極高(4-10 歲兒童中每五人就有一人佩戴)的品牌,Xplora 長期標榜“最高安全標準”,但研究顯示其防御機制極其脆弱。黑客利用一個硬編碼在系統中的“通用密鑰”,能夠輕松繞過防護,對所有同型號手表實施無差別攻擊。
這一漏洞的發現源于碩士生 Malte Vu 的畢業設計。在導師 Nils Rollshausen 的指導下,Vu 僅用數天便攻破了 Xplora 手表的開發者模式。
令人咋舌的是,該模式僅由一個簡單的 PIN 碼保護,Vu 僅耗時幾小時便通過手動嘗試破解了該密碼并提取了系統軟件。隨后的深度分析揭示了核心問題:廠商在所有同型號設備中使用了完全相同的加密密鑰。這意味著,一旦攻破一臺設備拿到密鑰,就等于拿到了開啟所有設備的“萬能鑰匙”。
掌握通用密鑰后,攻擊手段變得異常簡單且致命。研究人員演示指出,攻擊者只需通過自動化程序掃描 IMEI(國際移動設備識別碼)號段,就能鎖定大量活躍設備。
一旦鎖定,黑客不僅能實時讀取兒童與其父母的私密聊天記錄、查看照片和語音備忘錄,還能篡改定位數據,甚至偽裝成兒童向家長發送虛假求救信息。反之,黑客也能偽裝成家長向兒童發送誘導信息,徹底擊穿了家庭通信的安全屏障。
盡管研究團隊早在 2025 年 5 月就向 Xplora 通報了漏洞細節,但廠商的后續處理令人失望。8 月發布的一次更新僅將 PIN 碼延長至 6 位并限制了嘗試次數,試圖阻止研究人員進入開發者模式,卻未觸及“通用密鑰”這一核心隱患。面對廠商在 10 月后的“失聯”,研究團隊不得不向德國聯邦信息安全辦公室(BSI)求助。
在監管壓力下,Xplora 終于承諾將在 2026 年 1 月發布包含底層安全修復的系統更新。研究人員強烈建議家長在更新發布后的第一時間進行安裝。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
