11月26日，测试机构AV-TEST的物联网测试部门发布报告称，他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患，其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

M2智能手表及漏洞分析

研究人员称，这款SMA-WATCH-M2手表由深圳市爱保护科技有限公司（SMA）制造生产，已经问世多年。

该手表需要与配套的移动应用程序一起使用，通常情况下，父母会在SMA服务上注册一个帐户，将孩子的智能手表与手机配对，然后使用该应用程序跟踪孩子的位置，进行语音通话或在孩子离开指定区域时获得通知。

这个概念并不新鲜，目前市场上充斥着大量类似产品，其价格从30美元到200美元不等。

AV-TEST首席执行官兼技术总监Maik Morgenstern称，在接受调查的数码产品评级中，SMA是市场上最不安全的产品之一。

这款手表允许任何人通过可公开访问的Web API查询智能手表的后端，这时移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端。正常情况下，这一环节应该有一个身份验证令牌，可以防止未经授权的访问。尽管攻击者可以使用随机令牌来进行撞库攻击，但这并不意味着其没有存在意义。

一旦Web API公开，攻击者可以连接到该Web API循环浏览所有用户ID，并收集所有孩子及其父母的数据。Morgenstern称，使用这种技术，他的团队能够识别出5000多名M2智能手表佩戴者和10000多名家长帐户。

大多数孩子分布在欧洲，其中包括荷兰、波兰、土耳其、德国、西班牙和比利时等国家，此外也在中国、香港和墨西哥等地发现了启用中的智能手表。

此外，SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。

Morgenstern称，攻击者可以将其安装在自己的设备上，在应用程序的主配置文件中更改用户ID，并将其智能手机与孩子的智能手表配对，而无需输入帐户的电子邮件地址或密码。

攻击者将智能手机与孩子的智能手表配对后，便可以使用该应用程序的功能通过地图跟踪孩子，甚至可以拨打电话并与孩子进行语音聊天。

更糟糕的是，攻击者可以在给孩子错误的指示时更改移动帐户的密码，将父母账号锁定在应用程序之外。

手表依旧在售

发现漏洞后，AV-TEST第一时间与SMA取得联系，但是后者并未对此做出任何回应，只是提到该手表目前仍在通过该公司的网站和其他分销商出售（德国分销商Pearl已在报告后上架了M2）。

随后，AV-TEST还联系了英国标准协会（BSI），并希望履行其网络安全规范，对具备远程监听功能的儿童智能手表执行禁售。