Hacker News
A KTH student's thesis demonstrated that a popular children's smartwatch could be fully compromised, allowing unauthorized access to its camera, microphone, and location data. The research highlights the persistent vulnerability of software-based systems and the significant security risks associated with IoT devices intended for children.
AI 生成摘要
瑞典皇家理工學院一名學生的論文顯示,一款受歡迎的兒童智慧手錶可以被完全控制,讓他人能未經授權存取其相機、麥克風和位置數據。這項研究凸顯了軟體系統持續存在的脆弱性,以及針對兒童的物聯網設備所面臨的重大安全風險。
瑞典皇家理工學院(KTH)學生 Gustaf Blomqvist 在其畢業論文中,針對市面上熱銷的兒童智慧手錶 myFirst Fone R1s 進行了安全性評估。這項研究揭露了該產品存在嚴重的安全漏洞,攻擊者能透過網際網路完全接管手錶,進而遠端操控相機、麥克風與揚聲器,甚至能監聽環境音或竄改訊息。
在 Hacker News 的討論中,社群成員對於這類標榜安全、實則充滿隱患的兒童產品感到憂心。許多討論聚焦於該研究發現的具體技術細節,特別是這款手錶被發現內建了惡意程式碼,會定期向遠端伺服器傳送裝置內容,且其更新機制本身也存在漏洞,讓駭客能輕易植入更多惡意軟體。這種「安全裝置反而成為監控工具」的諷刺現象,引發了網友對製造商誠信與技術能力的質疑。
針對製造商的反應,社群也表達了強烈不滿。研究者曾試圖向廠商通報這 17 個安全漏洞,但廠商在初步詢問提交細節後便音訊全無,這種消極處理資安通報的態度在討論中被視為極不負責任。部分網友指出,這類小型製造商往往缺乏足夠的資源與專業知識來應對複雜的資安挑戰,導致產品在設計階段就留下了巨大的攻擊面。
此外,討論也延伸到了法規層面。不少留言者對歐盟即將推行的《網路韌性法案》(Cyber Resilience Act, CRA)寄予厚望,認為這類強制性的網路安全要求將有助於改善連網產品的亂象。雖然該法案要到 2027 年才會全面強制執行,但社群普遍認為這是解決數位基礎設施脆弱性的必要手段。也有觀點提出,家長或許需要一種不具備觸控螢幕、功能更單純但安全性更高的兒童通訊裝置,以避免過多的軟體功能帶來不必要的資安風險。