夜雨聆风摘要:孩子手表专用号频繁收到验证码,可能暴露短信代收、接码黑产、定位与监护人权限风险。本文拆解机制,并给出家长五分钟自查清单。
引子:一条不该出现的验证码
今年连续几个晚上,我在孩子的手表上瞥到一条条短信:大量我们全家都没用过的 App,发来一串串六位数的登录验证码。
这事本来不该让人在意,除了一个细节:这是孩子手表的专用号。
这张卡只做一件事:让孩子能给家里打电话、家里能找到孩子。它从没在任何网站、任何 App 上注册过,号码也没给过外人。换句话说,世界上"应该"知道这个号的人,半只手数得过来。
可那天之后,我开始留意,发现这样的验证码不是偶发,而是常态:今天是某社交平台的注册码,明天是某借贷 App 的登录码,后天又是某个我没听过的境外服务。它们的共同点是——那些平台,我们一个都没碰过。
我当时用的手表,姑且叫它 「某利浦」(在我把全部证据整理公开之前,先隐去真实品牌)。我想强调:下面讲的不是某一个牌子的八卦,而是整类低价儿童手表都可能踩中的结构性风险。我自己那台,只是让我撞见了它。
第一层:这不是"收错短信",是有规律的异常
一开始我也往"运营商发错了""号段邻居填错号"上想。但接下来几个月的观察,让这个解释站不住脚。
我把异常的"形状"列出来,规律就出来了:
▲ 某时间节点之后,手表配套 App 的主界面里,原本存在的「代收短信」入口消失不见。家长在正常使用界面里完全找不到它——既看不到收到了什么验证码,也没有任何打开的选项。
▲ 翻遍 App 的设置页面,依然没有任何与「短信代收/转发」相关的开关。对家长来说,这个功能从界面上彻底蒸发了——既无法查看,也无从关闭。
▲ App 界面可以藏住功能,但运营商账单藏不住。打开 10086 查这张卡的短信详单,每一条代收进来的验证码都白纸黑字:发送方是陌生 App,时间密集,持续数月,全家从没用过这些平台。界面上的沉默,和账单上的记录,形成了直接的矛盾。
最后两行是我最在意的。详单不会跟着 App 界面一起演戏:哪怕设备界面不再显示,短信确实进出过这张卡。而"功能能被悄悄隐藏、又能在某种条件下恢复",至少说明它不像一个单纯的本地开关,更像是某种可由云端策略影响的能力。这一点,比验证码本身更让我不舒服。
▲ 通过技术手段,被隐藏的代收短信功能在界面上重新出现。可以看到它积累下来的收件内容:来自多个陌生平台的注册/登录验证码,时间戳连续,全部是这张「只给孩子打电话用」的号码静静收下的。
我经过半年分析已经收集固定了大量更底层的抓包证据,这篇文章不打算公开取证细节。这里只想先把警报拉响:如果你也给孩子配了类似的低价手表,值得回头看一眼。
第二层:接码黑产 101——你的手表号,为什么值钱
要理解这条异常,得先认识一门灰色生意:接码。
很多 App 注册、登录、领券、刷量,都要用手机号收一条短信验证码。对于想批量注册账号的人,最大的瓶颈往往不是脚本,而是手机号:真实、能收码、最好还"干净没被风控标记"。这些批量注册出来的账号,会流向养号刷量、薅羊毛、刷单炒信,乃至电信诈骗的前置准备。每一个环节,都需要源源不断的"新号"来喂。
于是市场上长出了"接码平台":一头是大量手机号资源,一头是要批量注册的需求方,中间按条计费,把"收到的验证码"自动回传。整条链路大致是这样:
看懂这张图,就明白儿童手表号为什么是接码方眼里的"优质货":
• 它是真实运营商实名号,比虚拟号更不容易被 App 风控; • 它几乎不被本人主动使用,平时没人盯着收件箱,神不知鬼不觉; • 它常年在线、长期不换,是稳定的"收码终端"。
一台本该守护孩子的设备,反过来成了黑产眼里"安静又干净的收码卡"。这也是我看到那条验证码后,最警惕的解释方向。
这里只解释"为什么会发生",不涉及任何可操作的接码步骤。理解风险是为了防范,不是为了复制。
第三层:历史不是孤例——为什么这类设备反复出事
如果说我的经历只是一个入口,那把视野放大,会发现儿童智能设备"出事"早就不是新闻,而且根因高度一致。
几个被公开记录、可查证的案例:
• 安全公司 Avast 曾披露,深圳一家厂商(Shenzhen i365)的儿童/老人定位器,默认密码统一是 123456,与云端的通信是未加密的明文 JSON——也就是说,知道设备 ID 就可能读到实时位置。• 安全团队 Pen Test Partners 发现,大量手表共用的 Thinkrace 云平台存在漏洞,设备 ID 还是顺序编号,把已知 ID 加一减一就能访问别人的设备,受影响终端估算高达约 4700 万台。 • 更早的 SMA、TicTocTrack 等型号,也分别爆出过明文存储 GPS、陌生人可拨入手表并自动接听等问题。
把这些拼在一起,问题更像是产业链结构,而不是某个程序员一时手滑。下面这张图,把"便宜"是怎么一步步变成"百万级设备同时暴露"的,拆给你看。注意它不是一条直线,而是两条线在中途合流:
真正有实力自建硬件、固件、云服务和安全运维团队的品牌是少数;大量杂牌为了跑量,直接套用同一套廉价方案贴牌出货。源头不重视安全,下游就批量继承同一个洞。我手上那台「某利浦」的异常,放进这个背景里,就没那么离奇了。
第四层:不止接码——定位和"监护人"也能被钻空子
短信接码只是冰山一角。儿童手表最核心的三块能力——短信、定位、账号体系——其实是三条都可能漏风的战线:
把这三条战线展开看:
• 定位被代查:2025 年底,公安部网安局曾就儿童智能设备安全风险作出提示,提到网上存在所谓"定位破解教程""代查服务",宣称输入绑定手机号就能查到孩子的实时位置和轨迹。手表本是守护工具,定位却可能成了被人窥探的窗口。 • 陌生号强绑监护人:国内曾有家长反映,孩子的某品牌手表被陌生号码申请成监护人,对方因此能看实时定位、发语音。这背后还牵出"二次放号"的隐患——你的号注销后被重新分配,新机主可能继承到一些遗留权限。已有案例显示,诈骗分子借这类手表实施电信诈骗,单案涉案金额高达数十万元。 • 越界采集:国外消费者机构 Consumer Reports 在 2026 年初评测了 15 款儿童追踪设备,发现部分专为儿童设计的产品,反而缺少多因素认证(MFA)这类基本防护,采集的数据也远不止位置。
也就是说,一台手表可能同时在三条战线上漏风:短信、定位、账号体系——任何一条被攻破,受影响的都是孩子。
第五层:监管正在转向——2025 是个分水岭
好消息是,这件事终于被正面对待了。2025 年,针对儿童手表的监管明显收紧:
那个抽检数字,单独拎出来更刺眼——在被抽检的样品里,接近一半存在信息安全问题:
42.5% 这个比例值得停一下。强制性国标一旦落地,"安全"会从厂商的可选项,变成上市的硬门槛。但标准从征求意见到真正生效、再到清退存量设备,还有时间差。这段空窗期里,第一道防线仍然是家长自己。
给家长的五分钟自查清单
不需要懂技术,下面几件事现在就能做。真要排优先级,我建议先查详单,再看 App 设置,最后再考虑换号和换设备。
如果你已经在详单里看到对不上的短信,别只是关掉提示就算了——提示能被藏起来,行为不一定停。可以按这个顺序处理:先在运营商侧确认短信详单、必要时投诉并要求关停增值业务;再考虑给这张卡换号、给孩子换一台来源可靠的设备;涉及金额或疑似诈骗的,及时报警并保留详单截图。关键是把"被动收码的终端"这个角色彻底摘掉。
结论:孩子的安全感,不该建在最便宜的方案上
回到开头那条验证码。它最让我后怕的,不是黑产蹭了我一点话费,而是:一台我亲手戴到孩子手腕上、用来"保护"他的设备,可能正悄悄替陌生人打工,而我差点就忽略了它。
这件事的责任,本不该落在家长身上。被压到极限的成本、不被重视的源头安全、"先跑量再说"的贴牌产业链,共同造就了今天的局面。监管在补课,标准在路上,但在它真正生效之前,多看一眼详单、关一个开关、慎选一个品牌,就是你能为孩子多挡下的一层风险。
最后照例提醒:本文拆解这些机制,只为帮你识别和防范风险,不构成任何接码、代查或破解定位的操作指引。技术本身中立,定位、收码这些能力既能守护孩子,也能被人滥用,责任永远在使用者一方。任何利用技术手段追踪、定位、骚扰他人,尤其是针对儿童的行为,都是违法的。我们较真这些细节,是为了让孩子手腕上的那块屏幕,真的只属于他自己。
