Xplora儿童手表曝重大安全漏洞：通用密钥致隐私泄露风险

2025年12月30日，德国汉堡举行的第39届混沌通信大会上传出一项关于儿童智能设备安全的重大发现。来自达姆施塔特工业大学的研究团队揭露，挪威知名儿童智能手表品牌Xplora的产品存在严重安全漏洞，可能对用户隐私造成重大威胁。

该品牌在4至10岁儿童市场中拥有极高占有率，长期以“高安全性”作为核心卖点。然而研究显示，其产品防护机制远未达到宣称水平。研究人员发现，Xplora手表系统中嵌入了一个硬编码的“通用密钥”，攻击者可借此绕过安全验证，对同型号所有设备发起无差别入侵。

这一漏洞的挖掘起源于硕士生Malte Vu的毕业课题。在其导师Nils Rollshausen的指导下，Vu在数日内成功进入Xplora手表的开发者模式。该模式仅由一个简单PIN码保护，研究人员通过手动尝试在数小时内完成破解，并提取出完整系统固件。深入分析后发现，厂商在所有同型号设备中使用完全相同的加密密钥，导致一旦单台设备被攻破，密钥即可用于操控所有同类设备。

掌握该密钥后，攻击者可通过自动化程序扫描IMEI号段，快速识别并锁定大量在线设备。攻击手段包括实时读取儿童与家长之间的文字聊天、查看存储的照片与语音记录，篡改定位信息，甚至冒充儿童发送虚假紧急求助消息。同样，攻击者也可伪装成家长向孩子发送诱导性内容，彻底破坏设备所构建的家庭通信信任体系。

研究团队早在2025年5月即向厂商提交漏洞详情，但后续应对措施未能解决根本问题。同年8月发布的更新仅将开发者模式的PIN码延长至六位并增加尝试次数限制，试图阻止访问入口，却未替换广泛存在的通用密钥。自10月起，厂商未再就该问题作出有效回应，研究团队遂向德国联邦信息安全办公室寻求协助。

在监管机构介入后，厂商最终承诺将于2026年1月推出包含底层安全修复的系统更新。研究人员呼吁所有使用该品牌手表的家长，在更新发布后立即完成升级，以降低潜在风险。