岁末年初是传统的折扣季,许多数位产品已成为节日礼品的首选,特别是送给小孩和青少年,零售商也会推出各种圣诞季折扣吸引消费者。越来越多玩具也数字化升级,可联网的玩具增加许多备受父母青睐的功能,比如购买一只绒毛玩具,可能会带有语音辨识和机器学习,家长在选购这些可联网的产品时,需要更谨慎。
许多可联网的玩具让孩子更方便地获得网络资讯,但和其他装置一样面临网络安全的威胁。网络安全公司 Rapid7 研究主管 Tod Beardsley 认为,骇客在攻击网络装置时,并不会特别区分是针对哪种用户装置,可联网的玩具只是物联网产品中的一种,但这类产品的设计往往安全性很低,可能只有一个很简单的镜头,靠旧版本 Linux 和 Android 系统执行,无法阻挡网络恶意攻击。
安全性低已让可联网玩具成为骇客攻击的首选,2017 年 FBI 年发表了可联网玩具的使用警告,这些产品配置了感测器、麦克风、镜头、资料储存系统和其他媒体功能,比如语音辨识、GPS 等,这些功能一旦被骇客利用,就会危及儿童隐私和安全。
比如美泰儿 2015 年推出无线网络连线、有联网功能的芭比娃娃,骇客攻击这款产品,就可以获得孩子与娃娃的对话内容。近日挪威消费者委员会发表多家公司的儿童用智能手表研究报告发现,骇客可利用网络安全漏洞,直接透过智能手表与孩子对话。
可联网玩具熊的 CloudPets 公司数据库,数百万用户的语音对话讯息被泄露,还有用户的邮件和密码。多个机构已经向美国联邦贸易委员会投诉,指责 Genesis Toys 玩具公司开发的两款智能机器人玩具 My Friend Cayla 和 i-Que 在未提供充分通知或获得父母允许的状况下,收集和分享儿童的语音信箱,这两款产品已在德国禁售,Target 和 Toys R Us 也下架相关产品,但亚马逊平台仍有贩售。
并不是所有可联网玩具都有网络安全隐忧,就像不是每个家庭的监控镜头都会被骇客攻击,但物联网产品的安全性提升还有很长的路要走,可联网玩具也不例外。这些产品的用户真正要担心的不仅是骇客攻击,而是产品本身可能的缺陷。
玩具厂商不仅透过销售可联网的产品获利,还在违规收集用户的资讯并转卖。虽然儿童线上隐私规则针对儿童用户资料收集有许多限制,任何获取用户资讯都必须征得家长同意,但是面对几十页的用户须知,很多家长没有看清楚内容就直接确认,可联网玩具是儿童隐私的噩梦。
如果你打算在圣诞购物季选择一款可联网的玩具为礼品,那你首先需要了解这款产品如何执行,并确认它会获取什么讯息。研究用户须知的隐私保护条款,你可能需要一个律师来帮忙,同时还需要注意这些玩具的功能、指令如何输入。语音控制需要特别注意,Amazon Echo 和 Google Home 要特定唤醒词,唤醒后才开始执行,但小孩往往无法了解这些风险,无法在互动过程中保护自己的隐私,这些都是家长需要注意的问题。
- DON’T GET YOUR KID AN INTERNET-CONNECTED TOY
(首图来源:My Friend Cayla)
延伸阅读:
- 伟易达、美泰儿相继传出漏洞,资安问题成为智慧连网玩具产业隐忧
