瑞典皇家理工學院學生破解兒童智慧手錶,揭露嚴重安全漏洞
瑞典皇家理工學院一名學生的論文顯示,一款受歡迎的兒童智慧手錶可以被完全控制,讓他人能未經授權存取其相機、麥克風和位置數據。這項研究凸顯了軟體系統持續存在的脆弱性,以及針對兒童的物聯網設備所面臨的重大安全風險。
背景
瑞典皇家理工學院(KTH)學生 Gustaf Blomqvist 在其畢業論文中,針對市面上熱銷的兒童智慧手錶 myFirst Fone R1s 進行了安全性評估。這項研究揭露了該產品存在嚴重的安全漏洞,攻擊者能透過網際網路完全接管手錶,進而遠端操控相機、麥克風與揚聲器,甚至能監聽環境音或竄改訊息。
社群觀點
在 Hacker News 的討論中,社群成員對於這類標榜安全、實則充滿隱患的兒童產品感到憂心。許多討論聚焦於該研究發現的具體技術細節,特別是這款手錶被發現內建了惡意程式碼,會定期向遠端伺服器傳送裝置內容,且其更新機制本身也存在漏洞,讓駭客能輕易植入更多惡意軟體。這種「安全裝置反而成為監控工具」的諷刺現象,引發了網友對製造商誠信與技術能力的質疑。
針對製造商的反應,社群也表達了強烈不滿。研究者曾試圖向廠商通報這 17 個安全漏洞,但廠商在初步詢問提交細節後便音訊全無,這種消極處理資安通報的態度在討論中被視為極不負責任。部分網友指出,這類小型製造商往往缺乏足夠的資源與專業知識來應對複雜的資安挑戰,導致產品在設計階段就留下了巨大的攻擊面。
此外,討論也延伸到了法規層面。不少留言者對歐盟即將推行的《網路韌性法案》(Cyber Resilience Act, CRA)寄予厚望,認為這類強制性的網路安全要求將有助於改善連網產品的亂象。雖然該法案要到 2027 年才會全面強制執行,但社群普遍認為這是解決數位基礎設施脆弱性的必要手段。也有觀點提出,家長或許需要一種不具備觸控螢幕、功能更單純但安全性更高的兒童通訊裝置,以避免過多的軟體功能帶來不必要的資安風險。
延伸閱讀
- Gustaf Blomqvist 論文全文:Ethical Hacking of a Smartwatch for Kids: A Hacker’s Playground
- 歐盟網路韌性法案(CRA)介紹:Cyber Resilience Act 政策說明
- 相關技術演講:39C3 關於另一家兒童手錶廠商 Xplora 的安全性分析
- 瑞典媒體報導:SVT 關於兒童手錶易受駭客攻擊的專題報導