中国消费品质量安全促进会 · 官方网站

儿童智能手表信息安全风险分析

2023-02-20

为提升我国儿童智能手表质量,让儿童智能手表成为提高孩子安全防护的助手,而不是危害儿童隐私安全的黑手,我们在工信部科技司委托下,依托实验室能力,对儿童智能手表生产企业及产品开展调研、产品检测和风险评估等工作,掌握了儿童智能手表产品及行业的信息安全风险状况。

 

儿童智能手表产品及行业现状

儿童智能手表主要是指在传统儿童手表的基础上加入算法具有信息化处理能力的儿童手表,拥有通话、定位、紧急呼叫等一种或多种功能。目前,我国儿童智能手表的市场普及率超过30%,相当于每3个孩子当中,就有1个孩子佩戴使用智能手表,许多家长都依赖儿童智能手表来实现对孩子的远程监护。

 

随着信息技术的迅猛发展,智能化时代已然到来,智能手机、智能手表、智能家电等智能化产品已经渗透到人民群众生活的方方面面,给人们的生活方式带来了巨大的变化。儿童智能手表作为普及程度最高的儿童智能产品,已悄然进入千家万户。我国的儿童智能手表生产企业主要集中在珠三角和京津冀等地区,以东莞、北京、深圳、中山等城市为主。儿童智能手表行业中,参与者众多,整体成本高昂但低价竞争激烈,生产企业普遍利润率低。由于盈利空间有限,企业经济负担重,用于算法功能创新及产品信息安全防护预算有限,致使生产企业自主创新能力疲弱、手表产品普遍安全防护等级低等。因此导致生产企业缺乏技术竞争力,用户隐私问题频发,制约了儿童智能手表行业的发展。

 

目前,国内针对儿童手表产品尚无强制性国家标准,目前仅有市场监管总局(国家标准委)发布的推荐性国家标准GB/T41411-2022《儿童手表》,归口单位为中国轻工业联合会,2022年11月1日正式实施。该标准规定了儿童智能手表的信息安全的技术要求,包含升级功能、身份鉴别、访问控制、数据安全、安全审计、个人信息保护等。

 

儿童智能手表产品信息安全风险评估情况

随着儿童智能手表行业的快速发展,大量的电子产品生产企业开始从事儿童智能手表的生产制造,随之而来则衍生出诸多问题,在行业及市场调研当中,各种问题出现的频率越来越高,收集114家企业数据,发现了儿童智能手表行业普遍缺乏信息安全企业标准、生产企业信息安全投入和防护能力参差不齐以及产品信息安全防护能力不足等问题,是当前儿童智能手表生产企业在产品研发生产过程中存在的主要问题,这将会影响到行业未来的健康发展。

 

生产企业普遍缺乏信息安全企业标准。通过调研掌握情况来看,走访调研的企业中仅有小部分大企业具备儿童智能手表产品信息安全企业标准,中小型企业的企业标准较为混乱,部分儿童智能手表的企业标准技术要求甚至低于国家标准,导致儿童智能手表信息安全水平参差不齐,如果不能在统一安全技术标准下制造产品,最终将无法保障消费者的利益。儿童智能手表行业中部分中小企业由于成本、技术、设计等原因,未能严格执行标准,在研发管理、供应商管理、安全保障、质量管理等方面,缺乏经验与管控能力,只能依靠低质低价冲击市场,对儿童智能手表行业的发展及应用的普及带来巨大负面影响。为避免“劣币驱逐良币”,使得同业科学竞争,促进行业内企业的优胜劣汰,亟须加快国家层面的标准宣贯和落地。

 

生产企业信息安全投入和防护能力参差不齐。通过调研和现场检查情况可知,儿童智能手表生产企业中主要有三大类生产企业:电子产品企业、OEM厂商和互联网企业。其中电子产品企业自身拥有生产线和供应链,但缺少专业的信息技术部门,没有后台信息系统的开发设计经验,在身份鉴别和访问控制方面存在不足。OEM厂商对于产品的软件配置不可控,多个OEM厂商有时会共用一个后台信息系统,一旦出现信息安全漏洞就无法及时定位和修复,导致多个品牌受影响。互联网企业终端软件和后台信息系统是自主开发,因此能较好地定位和修复信息安全漏洞,但信息安全的维护需要大量的人力和设备支撑,部分企业为控制成本,在信息安全技术和运维方面投入较少。

 

信息安全防护能力存在不足。通过企业送样和市场购买等渠道进行采样,对样品进行信息安全检测。信息安全检测工作历时两个月,主要检测类别包括升级功能、身份鉴别、访问控制、数据安全、安全审计、个人信息保护等6个层面26项,检测方法主要依据GB/ T41411-2022《儿童手表》附录A2.6要求。主要信息安全风险包括3个方面,1)部分儿童智能手表产品账户和口令安全设计有瑕疵,容易导致用户密码泄露;2)部分儿童智能手表产品通信安全加密不严,通讯录易被篡改;3)部分儿童智能手表个人信息安全保护不完善,敏感信息被非法收集。2022年央视“3·15”晚会曝光了低配的儿童智能手表成行走的偷窥器,通过恶意程序实现了对手表的远程控制,可以对孩子实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围。

 

提升儿童智能手表信息安全水平

强化儿童智能手表产品标准供给和落地。加强(GB/T 41411-2022)《儿童手表》等标准的宣贯实施,加快先进儿童智能手表企业的信息安全保障技术向标准转化进程,培育优势、特色技术成为团体、行业或国家标准,以标准化引领不同档次的儿童智能手表信息安全水平提升。建议组织开展儿童智能手表国内外标准比对,加快转化先进适用的国际标准,提升国内外标准一致性程度。开展对标达标活动,鼓励、引领国内儿童智能手表企业及其上下游产业链主动制定和实施先进标准。建议持续开展信息安全风险监测,分析国内儿童智能手表产品在网络安全、数据安全等方面安全风险点,为建立分类分级的儿童智能手表产品安全体系奠定基础。

 

建设公共技术服务能力和推动“一对一”技术帮扶。发挥国家级技术服务机构和标杆企业引领作用,推动儿童智能手表产品公共技术服务平台建设,开展“一站式”服务,为产业信息安全防护能力提升,提供全生命周期技术支持。建立和完善儿童智能手表信息安全防护能力评价体系,探索建立第三方质量担保机制,开展 “智能安全”“优品认证”等自愿性检测认证,推动质量评价由追求“合格率”向追求“安全性”跃升。依托公共技术服务平台,组织行业协会和相关技术机构对儿童智能手表企业进行技术帮扶,开展技术培训,指导生产企业加强产品研发、关键零部件选购等的把关,改进儿童智能手表产品生产流程,引导生产企业注重安全技术研发和人性设计,提高儿童智能手表产品信息安全保障水平。

 

加强企业信息安全防护体系建设。儿童智能手表生产企业应加大信息安全的投入,严格按照国家标准和行业规范设计、生产、维护儿童智能手表产品。从技术层面看,首先需要采用可靠的固件系统,遵循安全编码规范,还要做好环境网络安全,加强企业的网络安全建设,减少暴露风险,做好安全区域划分和访问控制。其次需要进行严格的出厂前安全基线检查,对口令复杂度、初始安全策略和系统安全性进行审核确认。最后针对日常维护需要关注网络安全漏洞,持续性进行安全自查并及时修补漏洞风险,做好应急处置预案。从管理层面看,生产企业应严格遵循网络与数据安全标准规范,制定全面的网络安全管理制度,并设定红线考核要求,同时还要定期开展网络与数据安全专题培训,提升全员的生产安全意识。

 

作者为工业和信息化部电子第五研究所 黄宏爔 卓圣钧

声明:

       本网注明“来源:中国消费品质量安全促进会”的所有作品,版权均中国消费品质量安全促进会,未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源中国消费品质量安全促进会”。违反上述声明者,本网将追究其相关法律责任。若需转载本网稿件,请致电:010-59196582。

      本网注明“来源:XXX(非中国消费品质量安全促进会)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责