FBI 说智能玩具容易导致用户隐私泄露,这提醒有点迟了
来源:Pixabay发布日期:2017-07-20
除了智能家居可能会暴露用户的个人数据外,那些可以跟儿童对话、互动的联网玩具同样存在安全隐患。
联邦调查局(FBI)周一公布了一份新的公共服务公告(PSA),警告家长谨慎购买这些联网玩具,在购买前后也都需要提防儿童的个人数据被搜集,以及数据存储的安全性。
在这份公告中,FBI 提醒称:“(语音识别、GPS、麦克风等)这些功能可能会给儿童的隐私和安全带来风险,因为有大量的个人信息被无意识地曝光了。”
安全问题会导致另外一个结果,搜集、存储这些数据的公司可能会被攻击、泄露用户信息,数据泄漏出现的结果也许是儿童诈骗案。
FBI 的警告看起来有点迟了。过去两年来,这些可以联网的智能玩具在搜集儿童数据、存储的数据库被攻击这些事件上已经有不少案例了,其中包括美泰、伟易达等玩具厂商。
这些所谓的智能玩具,可以跟儿童进行对话、回答问题。例如此前玩具厂商美泰推出的 Hello Barbie 玩偶、Genesis Toys 公司的两款玩偶产品“我的朋友 Cayla”和 i-Que 等。通常来说,这些公司需要记录儿童的声音内容,再根据已有的语音数据库作出反馈。
这些信息包括了儿童的语音,通常还包括用户注册时填写的身份信息、生日、家庭住址,以及这些玩具在联网时获取的 IP 地址。
CloudPets 玩偶产品
这类泄漏事件在过去也确实发生了。通过旗下的 CloudPets 玩偶产品,Spiral Toys 公司存下了 82 万用户地址、200 多万条儿童语音数据。但这个数据库的数据可以很容易地在搜索引擎 Shodan 上找到,这个搜索引擎此前还抓取到了大量的、未加密的联网摄像头拍摄的视频数据。
更大的数据泄漏来自总部在香港的玩具制造商伟易达。2015 年年底,伟易达的教育应用商店数据库被攻击,480 万父母和超过 20 万儿童的姓名、邮箱和 IP 地址都被泄漏出去了。
本质上,这些联网的智能玩具跟此前的智能家居产品差别不大,就相当于一部存储了大量个人信息的 iPhone 或者 Android 手机,但是安全性、数据加密机制很可能较差。
安全机制的防护可能超出预料。由于在传输过程中未加密,大量的联网摄像头拍摄的视频直接被搜索引擎抓取过去了,其中还能找到不少中国教室的照片。