第三方智能手表发现漏洞 安全问题日益严重

现在愈来愈多人喜欢使用智能手表，因为其可以提供不少传统手表都做不到的功能，例如查看微信聊天纪录、接电话、监测心跳血压等。不过，有的手表本身相配套的应用可能会存在安全漏洞，使攻击者可以向用户，特别是病患用户随意发送服药提醒从而导致过量服药。

这个漏洞是在一款名为SETracker的国产应用内发现的，在iOS以及安卓上都有不少的下载量。其中一些使用这款应用的智能手表是供那些患有阿尔茨海默症的长者使用的，另外有的家长也会用这款应用来查看孩子的位置。

发现这一漏洞的网络安全公司Pen Test Partners在应用内发现一个不受限制的服务器至服务器API，可以被攻击者利用来进行恶意操作。具体来说，除了要求一组已经硬编码到代码中的半随机字符串外，API无需进行身份验证即可发送命令。研究人员表示，这意味着未经身份验证的攻击者可以像在受信任的服务器上一样自由发送命令。

例如攻击者可以在知道智能手表的ID的情况下可以打电话给任意的装置、监视智能手表的活动以及随意打开智能手表上的摄像头、甚至可以向用户直接发送服药的提示。

由于阿尔茨海默症患者的记忆状况，如果攻击者发送了服药提示，那么很大机率用户会在已经服用过药物的情况下再次服药，这对于患者来说是非常危险的。

研究人员在1月22日向SETracker的开发商报告了这一漏洞，而开发商也在2月12日修补了这个漏洞，可以说是反应比较迅速。而至于在修补前这个漏洞有没有被利用就不得而知了。

虽然说物联网装置有安全问题也不是一天两天的事了，但是智能手表由于会被长者以及小朋友使用，所以一旦有隐私或者安全性问题时就显得比较严重了。