FBI：保護兒童隱私應注意聯網玩具安全

E安全7月23日訊 美國聯邦調查局（FBI）周一發布警告稱，物聯網玩具不止能給孩童帶來樂趣，還可能侵犯兒童隱私，並影響安全。FBI鼓勵消費者考慮購買智能、交互、聯網玩具時應考慮網路安全。

兒童智能玩具和娛樂設備不斷融合基於用戶交互了解並迎合兒童行為的技術。這些玩具通常包含感測器、麥克風、相機、數據存儲組件和其它多媒體功能，包括語音識別和GPS定位，可能會潛在收集兒童的個人信息，包括姓名、學校、活動計劃和物理地址。考慮到大量個人信息可能會不知不覺被泄露，這些功能可能會影響兒童的隱私與安全。

物聯網玩具如何影響？

不同玩具的功能和特點差別較大。在某些情況下，帶麥克風的玩具在一定範圍內可以記錄並收集對話。諸如兒童姓名、學校、喜好和活動等信息可能會通過正常對話或在周圍環境中被泄露。收集兒童個人信息，再加上玩具可以連接到互聯萬或其它設備，因此，隱私與物理安全可能會受到威脅。個人信息（例如姓名、出生日期、照片和地址）通常會在創建賬號時提供。

此外，玩具公司會收集大量其它信息，例如語音信息、錄音對話、過去與實時物理位置、互聯網使用歷史遺迹互聯網地址/IP。暴露此類信息可能會為兒童身份欺詐行為創造機會。另外，還可能導致敏感數據（例如GPS位置信息，圖片或視頻視覺標識）被濫用，不法分子或可通過已知的興趣愛好獲取兒童信任。

消費者應當仔細查看玩具公司用戶協議中的披露和隱私條款，並了解家庭個人數據發送與存儲位置，包括是否發送至第三方服務。玩具公司急於將玩具推向市場以及本著使用方便的原則往往忽略了安全措施。消費者應上網了解安全研究人員發現的產品已知問題，或通過消費者報告了解產品的安全性。

兒童與玩具之間的交互與對話數據通常由玩具製造商或開發人員通過伺服器或雲服務進行存儲發送。某些情況下，管理語音識別軟體的第三方公司也會收集這類數據。如果未正確使用數字證書、加密保護數據傳輸和安全存儲，錄音、玩具Web應用程序（父應用程序）密碼、家庭地址、Wi-Fi信息或敏感個人信息可能會被泄露。

智能玩具一般會通過以下方式連接到互聯網：

• 直接連接，通過Wi-Fi連接到聯網無線訪問點；

• 間接連接，通過藍牙連接到聯網Android或iOS設備。

玩具中使用的網路安全措施，玩具的合作應用程序（ Partner Application），以及玩具直接連接的Wi-Fi網路對整個用戶安全構成直接影響。

玩具、Wi-Fi訪問點和存儲數據或與玩具交互的互聯網伺服器之間加密數據的通信連接對緩解風險至關重要，因為黑客可能會利用玩具或潛在監聽對話/音頻信息。如果連接安全措施不到位，不具備PIN或密碼等身份驗證要求的藍牙連接玩具與移動設備配對時可能會讓未經驗證的用戶遠程訪問玩具。

玩具廠商可能有的通病

今年3月，Spiral Toys公司製造的CloudPets系列動物填充玩具資料庫遭到泄露，外泄的內容包括超過200萬父母與兒童的語音消息，外加超過80萬個帳戶的電子郵箱地址與密碼數據。因為該廠商製造的這些智能玩具能夠記錄並播放由父母與兒童通過互聯網發出的語音消息。

2015年11月，技術新聞網站Motherboard就曾經披露玩具製造商VTech遭遇入侵，近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。而同一個月中，研究人員發現美泰公司生產的互聯網接入型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實時對話。

在這些案列中，有的玩具廠商明明知曉這些玩具中存在「漏洞」，卻沒有採取任何措施，或許是因為沒有意識到用戶的這些數據的重要性，又或許，玩具廠商重點在「玩具」，而沒有更多的安全方面的資源投入。

在WannaCry出現之前，人們並不會那麼在意系統升級、病毒庫實時更新等簡單的安全措施。

真正意義上的「安全玩具」，或許要等到用戶和廠商切實體會到安全風險帶來的「切膚之痛」才會出現。還有哪些方式保護兒童？

FBI指出，《兒童網路隱私保護法》（COPPA）對針對13歲以下兒童的網站和在線服務運營商，以及故意收集13歲以下兒童個人在線信息的其它網站運營商和服務商提出相關要求。

2017年6月21日，美國聯邦貿易委員會（FTC）更新指南，要求公司遵守COPPA確保聯網玩具和相關服務安全，包括使用移動應用程序、聯網位置服務和語音IP服務。

此外，若廠商無法對聯網玩具收集的數據採取合理的安全措施，廠商可能面臨FTC法案（禁止市場不公平競爭）的相關法律制裁。FBI鼓勵所有消費者了解法律是否覆蓋了相關玩具和Web服務。

建議

FBI警告稱，如果這些玩具遭遇黑客入侵，攻擊者可能會這些個人信息和數據對兒童的安全構成威脅。FBI在公告中提出選擇和使用物聯網玩具的相關建議：

1、了解已知的安全問題。

2、僅使用安全可信的Wi-Fi連接並使用玩具。

3、了解玩具的互聯網和設備連接安全措施：

• 使用藍牙與設備配對時是否要求驗證（通過PIN碼或密碼）。

• 將數據從玩具傳輸到Wi-Fi接入點、伺服器或雲服務時，是否使用加密。

4、了解玩具是否會接收固件和/或軟體更新和安全補丁：

• 如果接收，確保玩具更新到最新版本，並安裝任何可用的補丁。

5、了解用戶數據存儲位置---玩具公司、第三方公司或兩者兼備——是否有任何公開的報告披露這些公司的聲譽和網路安全態勢。

6、仔細閱讀披露與隱私條款（玩具公司和其它第三方），並考慮以下情況：

• 如果玩具公司遭遇網路攻擊，消費者數據可能被泄露，公司知否會通知消費者？

• 如果玩具中存在的漏洞被發現，公司是否會通知消費者？

• 數據存儲在何處？

• 誰能訪問用戶數據？

• 如果公司修改了披露和隱私條款，是否會通知消費者？

• 公司是否公開了聯繫信息？

7、如果存在父應用程序，可以通過該程序密切監視兒童使用玩具的情況（例如對話和錄音）。

8、確保在不使用的情況下關閉玩具電源，尤其帶麥克風和相機的玩具。

9、創建用戶賬號時，使用強登錄密碼（例如大小寫字母、數字和特殊字元）。

10、僅提供必填信息。

同時，美國設有互聯網犯罪投訴中心（Internet Crime Complaint Center），可提供大眾或者受害者起訴。

相關閱讀：

小心！MQTT安全漏洞影響能源行業及物聯網設備安全
卡巴斯基：攝像機是物聯網殭屍網路攻擊的主要來源
調查：48%的美國公司曾遭遇過IoT網路攻擊 物聯網安全投入與安全性成正比
物聯網惡意軟體Hajime劫持30萬台設備 動機成謎
除了聯網汽車：物聯網還將在哪些方面支持交通行業？
慎重！物聯網時代情趣用品真的適合聯網么？

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]
@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。