Xplora儿童手表安全漏洞:通用密钥可致隐私泄露隐患
2025年12月30日,在德国汉堡举办的第39届混沌通信大会上,一项关于儿童智能设备安全的重大发现被公布。来自达姆施塔特工业大学的研究团队揭露,挪威知名儿童智能手表品牌Xplora的产品存在严重安全漏洞,可能对用户隐私构成重大威胁。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
该品牌在4至10岁儿童市场中占有率极高,长期以来一直以“高安全性”作为核心卖点。然而研究显示,其产品防护机制远未达到宣称的水平。研究人员发现,Xplora手表系统中嵌入了一个硬编码的“通用密钥”,攻击者可借此绕过安全验证,对同型号所有设备发起无差别入侵。
这一漏洞的挖掘源于硕士生Malte Vu的毕业课题。在其导师Nils Rollshausen的指导下,Vu在数日内成功进入Xplora手表的开发者模式。该模式仅由一个简单PIN码保护,研究人员通过手动尝试在数小时内完成破解,并提取出完整系统固件。深入分析后发现,厂商在所有同型号设备中使用了完全相同的加密密钥,导致一旦单台设备被攻破,该密钥即可用于操控所有同类设备。
掌握该密钥后,攻击者可通过自动化程序扫描IMEI号段,快速识别并锁定大量在线设备。攻击手段包括实时读取儿童与家长之间的文字聊天、查看存储的照片与语音记录,篡改定位信息,甚至冒充儿童发送虚假紧急求助消息。同样,攻击者也可伪装成家长向孩子发送诱导性内容,彻底破坏设备所构建的家庭通信信任体系。
研究团队早在2025年5月即向厂商提交漏洞详情,但后续应对措施未能解决根本问题。同年8月发布的更新仅将开发者模式的PIN码延长至六位并增加尝试次数限制,试图阻止访问入口,却未替换广泛存在的通用密钥。自10月起,厂商未再就该问题作出有效回应,研究团队遂向德国联邦信息安全办公室寻求协助。
在监管机构介入后,厂商最终承诺将于2026年1月推出包含底层安全修复的系统更新。研究人员呼吁所有使用该品牌手表的家长,在更新发布后立即完成升级,以降低潜在风险。
热门专题
热门推荐
加密货币行业翘首以盼的监管里程碑,终于有了实质性进展。美国证券交易委员会(SEC)主席保罗·阿特金斯(Paul Atkins)近日证实,那份允许加密项目在早期获得注册豁免权的“安全港”框架提案,已经正式送抵白宫,进入了最终审查阶段。 在范德堡大学与区块链协会联合举办的数字资产峰会上,阿特金斯透露了这
微策略Strategy报告:第一季录得144 6亿美元浮亏 再斥资约3 3亿美元买进4871枚比特币 市场震荡的威力有多大?看看Strategy的最新季报就明白了。根据其最新向美国证管会(SEC)提交的8-K报告,受市场剧烈波动影响,这家公司所持的比特币在第一季度录得了一笔惊人的数字——144 6亿
稳定币巨头Tether的动向,向来是加密世界的风向标。这不,它向Web3基础设施的版图扩张,又迈出了关键一步。公司执行长Paolo Ardoino在社交平台X上透露,其工程团队正在全力“烹制”一个新项目——去中心化搜索引擎 “Hypersearch”。这个消息一出,立刻引发了行业的广泛猜想。 采用D
基地位于Coinbase旗下以太坊Layer2网络Base的Seamless Protocol,日前正式宣告了服务的终结。这个曾经吸引了超过20万用户的原生DeFi借贷协议,在运营不到三年后,终究没能跑赢时间。它主打的核心产品是Integrated Leverage Markets(ILMs)——一
PAAL代币揭秘:深度解析Web3社区治理的核心钥匙 在去中心化自治组织的浪潮中,谁真正掌握了项目的话语权?PAAL代币提供了一套系统化的答案。它不仅是生态内流转的价值媒介,更是开启链上治理大门的核心凭证。通过持有并质押PAAL代币,用户能够对协议升级、资金分配乃至战略方向等关键事务投出决定性的一票