导语:本文讲述了智能玩具的安全风险以及隐私相关危险,最后得出结论,请不要再为孩子买智能玩具了。

智能玩具尝试提供给孩子不仅仅是一个玩具。许多玩具模型提供声音识别、面部表情、上百个单词和短语、对触摸和影响会有反应、还有学习和获取新信息的能力。这些特征让许多孩子都非常喜欢,让他们假想的朋友变得更加真实。

最基本的智能玩具可以简单到有表情并且可以动,而这些特征可以帮助开发智力。高端一点的智能玩具可以是真实的生活伴侣,可以和孩子一起看星球大战这样的电影,并给出评论。

不像其他的IOT产品,智能玩具没有根据工业的最佳实践来保护个人信息、设计软件、及时更新。

小孩+互联网是一个新的领域。很快,我们发现小孩在成为真正的网络用户之前,如何保护他们的数字足迹是我们需要担心的问题。我们不知道小孩从出生开始就被收集和传输的数据会带来什么样的影响。

像R2-D2这样的智能机器人,研究人员建议还是不要买了。

image.png

注:以星战机器人角色R2-D2外观打造的“Smart R2-D2”,是一款能够通过手机、平板远端操控的机器人,搭配专属的“Star Wars Smart R2-D2 app”,R2-D2能利用机身底部的三颗轮子自由移动,同时头部也会转动,身上的感测器会侦测环境中的动作与声音,透过App设定妥当,R2-D2就会依照指示的路径移动,并且只需要装上四颗2A电池就可以马上开始玩。

有一个问题就是完成与智能玩具进行交互需要收集的数据。简单的游戏和编程只需要一点内存和蓝牙连接到计算机就可以加载,而复杂的语音识别和记忆用户喜好和会话就需要把数据发送到远程服务器进行训练数据集的分析。

如果数据传输链中的所有点都配置合理,那么这个过程就是完全安全的。不幸的是,在收集链中有很多空间容易发生漏洞。

从数据收集的角度看,在处理个人信息方面应该做出适当的决策。收集的数据在传输时应该以一种安全的方式进行,要能够应对第三方的窃听。从收集链的另一端来看,所有的数据需要存储在安全的服务器上,而这种安全是通过打补丁、更新软件、安全的哈希算法等保证的。而在过去,智能玩具的制造商并没有做到这些基准。

软件更新迟缓是所有IOT设备面临的一个问题。虽然智能玩具现在很智能,但是对于漏洞的修复率可能会很少,甚至没有。因为在IOT生产商之间的使用安全补丁的频率差异很大。

还有,这些智能产品的安全设计和手机app相关的安全设计并不好。2015年,香港电子制造商VTech就曾爆出SQL注入攻击,导致数百万儿童个人信息泄漏。Troy Hunt描述了一些发现的安全问题:

· 网站不使用SSL

· 未使用强加密的算法哈希密码

· 明文存储安全问题

· Flash的扩展使用

除了产品中的安全问题以外,成人用户经常会忽视安全软件更新,在未详细查看隐私相关协议的情况下点击同意。像修改默认密码这样的安全方法可以让一个家庭的婴儿监视器和玩具熊避免被黑。

与小孩子坐在一起聊天,安全PII最佳实践可能是不适用的。Fisher Price生产了一系列的智能玩具,明确说明没有个人信息通过WiFi传输。而在IOT领域,这样的声明是很少见的。但2016年,Fisher Price智能玩具熊被爆通过不安全的API泄漏了客户和小孩的数据。对大多数的IOT产品来说,工业安全标准很低,以至于遵守了最佳安全实践产品也是有安全风险的。

智能玩具有所有IOT产品的风险,一些公司忽视了这些问题,并将这些风险产品已经应用到了孩子身上。这些安全漏洞带来的危险促使FBI发布了智能玩具的一个安全建议,

因为目前厂商执行一个共享的安全标准,所以研究人员建议为了孩子考虑,不要购买这些智能玩具。

源链接

Hacking more

...