联邦调查局(FBI)周一公布了一份新的玩能泄公共服务公告(PSA),警告家长谨慎购买这些联网玩具,具也在购买前后也都需要提防儿童的露隐个人数据被搜集,以及数据存储的安全安全性。
在这份公告中,度低FBI提醒称:“(语音识别、醒智GPS、玩能泄麦克风等)这些功能可能会给儿童的具也隐私和安全带来风险,因为有大量的露隐个人信息被无意识地曝光了。”
安全问题会导致另外一个结果,安全搜集、度低存储这些数据的醒智公司可能会被攻击、泄露用户信息,数据泄漏出现的结果也许是儿童诈骗案。
FBI 的警告看起来有点迟了。过去两年来,这些可以联网的智能玩具在搜集儿童数据、存储的数据库被攻击这些事件上已经有不少案例了,其中包括美泰、伟易达等玩具厂商。
这些所谓的智能玩具,可以跟儿童进行对话、回答问题。例如此前玩具厂商美泰推出的Hello Barbie 玩偶、Genesis Toys 公司的两款玩偶产品“我的朋友Cayla”和 i-Que 等。通常来说,这些公司需要记录儿童的声音内容,再根据已有的语音数据库作出反馈。
这些信息包括了儿童的语音,通常还包括用户注册时填写的身份信息、生日、家庭住址,以及这些玩具在联网时获取的 IP 地址。
CloudPets 玩偶产品这类泄漏事件在过去也确实发生了。通过旗下的 CloudPets 玩偶产品,Spiral Toys 公司存下了82万用户地址、200 多万条儿童语音数据。但这个数据库的数据可以很容易地在搜索引擎 Shodan 上找到,这个搜索引擎此前还抓取到了大量的、未加密的联网摄像头拍摄的视频数据。
更大的数据泄漏来自总部在香港的玩具制造商伟易达。2015 年年底,伟易达的教育应用商店数据库被攻击,480 万父母和超过20 万儿童的姓名、邮箱和 IP 地址都被泄漏出去了。
本质上,这些联网的智能玩具跟此前的智能家居产品差别不大,就相当于一部存储了大量个人信息的 iPhone 或者 Android 手机,但是安全性、数据加密机制很可能较差。
安全机制的防护可能超出预料。由于在传输过程中未加密,大量的联网摄像头拍摄的视频直接被搜索引擎抓取过去了,其中还能找到不少中国教室的照片。
