聖誕購物季到了,購買可聯網的玩具給孩子需謹慎

作者 | 發布日期 2017 年 12 月 22 日 9:00 | 分類 資訊安全 follow us in feedly

歲末年初是傳統的折扣季,許多數位產品已成為節日禮品的首選,特別是送給小孩和青少年,零售商也會推出各種聖誕季折扣吸引消費者。越來越多玩具也數位化升級,可聯網的玩具增加許多備受父母青睞的功能,比如購買一隻絨毛玩具,可能會帶有語音辨識和機器學習,家長在選購這些可聯網的產品時,需要更謹慎。



許多可聯網的玩具讓孩子更方便地獲得網路資訊,但和其他裝置一樣面臨網路安全的威脅。網路安全公司 Rapid7 研究主管 Tod Beardsley 認為,駭客在攻擊網路裝置時,並不會特別區分是針對哪種用戶裝置,可聯網的玩具只是物聯網產品中的一種,但這類產品的設計往往安全性很低,可能只有一個很簡單的鏡頭,靠舊版本 Linux 和 Android 系統執行,無法阻擋網路惡意攻擊。

安全性低已讓可聯網玩具成為駭客攻擊的首選,2017 年 FBI 年發表了可聯網玩具的使用警告,這些產品配置了感測器、麥克風、鏡頭、資料儲存系統和其他媒體功能,比如語音辨識、GPS 等,這些功能一旦被駭客利用,就會危及兒童隱私和安全。

比如美泰兒 2015 年推出無線網路連線、有聯網功能的芭比娃娃,駭客攻擊這款產品,就可以獲得孩子與娃娃的對話內容。近日挪威消費者委員會發表多家公司的兒童用智慧型手錶研究報告發現,駭客可利用網路安全漏洞,直接透過智慧型手錶與孩子對話。

可聯網玩具熊的 CloudPets 公司資料庫,數百萬用戶的語音對話訊息被洩露,還有用戶的郵件和密碼。多個機構已經向美國聯邦貿易委員會投訴,指責 Genesis Toys 玩具公司開發的兩款智慧型機器人玩具 My Friend Cayla 和 i-Que 在未提供充分通知或獲得父母允許的狀況下,收集和分享兒童的語音信箱,這兩款產品已在德國禁售,Target 和 Toys R Us 也下架相關產品,但亞馬遜平台仍有販售。

並不是所有可聯網玩具都有網路安全隱憂,就像不是每個家庭的監控鏡頭都會被駭客攻擊,但物聯網產品的安全性提升還有很長的路要走,可聯網玩具也不例外。這些產品的用戶真正要擔心的不僅是駭客攻擊,而是產品本身可能的缺陷。

玩具廠商不僅透過銷售可聯網的產品獲利,還在違規收集用戶的資訊並轉賣。雖然兒童線上隱私規則針對兒童用戶資料收集有許多限制,任何獲取用戶資訊都必須徵得家長同意,但是面對幾十頁的用戶須知,很多家長沒有看清楚內容就直接確認,可聯網玩具是兒童隱私的噩夢。

如果你打算在聖誕購物季選擇一款可聯網的玩具為禮品,那你首先需要了解這款產品如何執行,並確認它會獲取什麼訊息。研究用戶須知的隱私保護條款,你可能需要一個律師來幫忙,同時還需要注意這些玩具的功能、指令如何輸入。語音控制需要特別注意,Amazon Echo 和 Google Home 要特定喚醒詞,喚醒後才開始執行,但小孩往往無法了解這些風險,無法在互動過程中保護自己的隱私,這些都是家長需要注意的問題。

(首圖來源:My Friend Cayla

延伸閱讀: