挪威Xplora儿童手表安全漏洞详解：黑客可监听、篡改定位并窃取照片

12月30日消息，在12月27日至30日于德国汉堡举行的第39届混沌通信大会（39C3）上，达姆施塔特工业大学的研究团队公布了一项惊人发现：挪威儿童智能手表巨头Xplora的产品存在一个极其危险的安全漏洞。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

值得注意的是，Xplora在挪威市场占有率极高（4-10岁儿童中，每五人就有一人佩戴），且长期标榜“最高安全标准”，但研究显示其防御机制极其脆弱。黑客可利用一个硬编码在系统中的“通用密钥”，轻松绕过防护，对所有同型号手表实施无差别攻击。

这一漏洞的发现源于硕士生Malte Vu的毕业设计。在导师Nils Rollshausen的指导下，Vu仅用数天便攻破了Xplora手表的开发者模式。

更令人咋舌的是，该模式仅由一个简单的PIN码保护，Vu仅耗时几小时便通过手动尝试破解了该密码，并提取了系统软件。随后的深度分析揭示了核心问题：厂商在所有同型号设备中使用了完全相同的加密密钥。这意味着，一旦攻破一台设备拿到密钥，就等于拿到了开启所有设备的“万能钥匙”。

掌握通用密钥后，攻击手段变得异常简单且致命。研究人员演示指出，攻击者只需通过自动化程序扫描IMEI（国际移动设备识别码）号段，就能锁定大量活跃设备。

一旦锁定，黑客不仅能实时读取儿童与其父母的私密聊天记录、查看照片和语音备忘录，还能篡改定位数据，甚至伪装成儿童向家长发送虚假求救信息。反之，黑客也能伪装成家长向儿童发送诱导信息，彻底击穿了家庭通信的安全屏障。

尽管研究团队早在2025年5月就向Xplora通报了漏洞细节，但厂商的后续处理令人失望。8月发布的一次更新仅将PIN码延长至6位并限制了尝试次数，试图阻止研究人员进入开发者模式，却未触及“通用密钥”这一核心隐患。面对厂商在10月后的“失联”，研究团队不得不向德国联邦信息安全办公室（BSI）求助。

在监管压力下，Xplora终于承诺将在2026年1月发布包含底层安全修复的系统更新。研究人员强烈建议家长在更新发布后的第一时间进行安装。