挪威Xplora儿童智能手表存在“万能钥匙”级安全漏洞,黑客可无差别攻击所有设备
事件背景
2025年12月27-30日,德国汉堡第39届混沌通信大会(39C3)上,德国达姆施塔特工业大学研究团队公开惊人发现:挪威儿童智能手表巨头Xplora的产品存在高危安全漏洞,其加密机制存在“通用密钥”缺陷,导致黑客可通过单一设备获取的密钥,无差别入侵所有同型号手表。
漏洞核心:“万能钥匙”级加密缺陷
Xplora作为挪威市场占有率极高的儿童手表品牌(4-10岁儿童中每5人就有1人佩戴),长期标榜“最高安全标准”,但研究显示其设备存在致命设计缺陷:所有同型号设备使用完全相同的加密密钥。一旦某一台设备被攻破并获取密钥,黑客即可“解锁”所有同型号设备,形成“万能钥匙”效应。
漏洞发现过程
- 研究团队:由硕士生Malte Vu在导师Nils Rollshausen指导下完成。
- 发现手段:Vu仅用数天攻破Xplora手表的开发者模式(该模式仅用简单PIN码保护),几小时内手动尝试破解PIN码后提取系统软件,经深度分析发现通用密钥问题。
- 关键时间点:2025年5月,研究团队已向Xplora通报漏洞细节,但厂商未及时修复核心缺陷。
攻击手段与危害
- 锁定设备:黑客通过自动化程序扫描IMEI号段,即可批量定位大量活跃设备。
- 致命攻击:
- 读取数据:儿童与家长的私密聊天记录、照片、语音备忘录等。
- 篡改信息:伪造定位数据,或伪装成儿童发送虚假求救信息,或伪装成家长发送诱导信息。
- 突破安全屏障:彻底破坏家庭通信安全,威胁儿童隐私与安全。
厂商处理与后续建议
- 敷衍修复:Xplora仅在2025年8月发布更新,将PIN码延长至6位并限制尝试次数(未解决核心密钥问题),10月后失联。
- 监管介入:研究团队向德国联邦信息安全办公室(BSI)求助,Xplora承诺2026年1月发布底层安全修复更新。
- 家长行动:建议在更新发布后第一时间为设备安装修复补丁,避免儿童手表成为黑客攻击的“跳板”。
总结:此次漏洞暴露了厂商安全意识的严重缺失,“通用密钥”设计是典型的“低级错误”,需引起儿童智能设备行业对底层加密机制的高度重视。家长应尽快配合厂商完成设备更新,避免隐私泄露与安全风险。
一站式数字化解决方案服务商 —— 专业提供软件开发、网站设计、APP 与小程序开发,搭载低费率支付通道,结合创意广告设计,助力企业全链路数字化升级。
- 使用本网站请联系客服
- 点击关注微信公众号:乐鱼网络
- 点击-在线客服