这些手表的设计目的是帮助患者方便地给照顾者打电话,并让照顾者追踪患者的位置。他们有自己的蜂窝连接,所以他们可以在任何地方工作。
但英国安全公司Pen Test Partners的研究人员发现,他们可以欺骗智能手表,让他们随时向患者发送假的“吃药”提醒,他们说。
Vangelis Stykas在一篇博客文章中写道:“痴呆症患者不太可能记得他们已经服用过药物。”“服药过量很容易导致。”
这些漏洞是在为智能手表提供动力的后端云系统SETracker中发现的。研究人员说,同样的云系统还为欧洲数以百万计的其他白标智能手表和车辆跟踪器提供动力,所有这些设备都容易受到基本攻击。
研究人员发现了一份为后端云系统提供动力的源代码副本,使研究人员能够找到代码中的安全漏洞。发现的主要缺陷之一是服务器使用的是硬编码密钥,如果使用该密钥,攻击者可以发送任何命令来远程控制这些设备中的任何一个。
有了这个密钥,攻击者就可以触发“吃药”警报,用该设备秘密打电话,发送短信,或者-对于车辆跟踪器-完全切断引擎。
该代码还有SETracker云存储的密码和令牌,研究人员认为这是基于这些设备上传的代码存储的数据。但研究人员无法进行检查,因为这样做会违反英国的计算机黑客法律。
研究人员表示,这些漏洞现在已经修复。目前还不清楚这些漏洞是否被其他人利用了。
就在这项最新研究的几个月前,Pen Test Partners在另一款广泛使用的白标儿童跟踪智能手表中发现了类似的漏洞。
在智能设备制造商中,安全或缺乏安全性是一种日益增长的趋势,这些制造商通常在制造设备时几乎没有考虑到良好的网络安全实践。这促使英国政府提出了新的立法,通过强制智能设备在销售时必须具有基线水平的安全,如唯一密码,来帮助提高它们的安全性。