在进入互联网玩具世界之前做一些研究是值得的
物联网 (IoT) 正在改变我们的生活和工作方式。 从智能起搏器到 健身追踪器, 语音助理 至 智能门铃,这项技术让我们更健康、更安全、更高效、更有趣。
同时,它也为制造商为我们的孩子推销华而不实的新玩具提供了机会。 这 全球智能玩具市场 预计将实现两位数的百分比增长,到 24 年将超过 2027 亿美元。但是当连接、数据和计算相遇时,隐私和 安全问题 永远不会遥远。
您也很有可能正在考虑为您的孩子购买其中一种玩具,从而鼓励他们的学习和创造力。 但是,为了保护您的数据和隐私(以及您孩子的安全!),在进入互联玩具世界之前进行一些研究是值得的。
什么是智能玩具,什么是网络风险?
智能玩具已经存在好几年了。 与任何物联网设备一样,其理念是使用连接性和设备智能来提供更具沉浸感、互动性和响应性的体验。 这可能包括以下功能:
- 从孩子那里接收视频和音频的麦克风和摄像头
- 扬声器和屏幕将音频和视频传回给孩子
- 蓝牙将玩具连接到连接的应用程序
- 互联网连接到 家用无线路由器
有了这种技术,智能玩具可以超越我们大多数人长大的无生命玩具。 他们有能力通过来回互动来吸引孩子们,甚至可以通过从互联网上下载额外的功能来获得新的功能或行为。
不幸的是,制造商在进入市场的竞争中可能会忽略保障措施。 因此,他们的产品可能包含 软件漏洞 和/或允许 不安全的密码. 他们可能会记录数据并将其秘密发送给第三方,或者他们可能会要求父母输入其他敏感细节,然后不安全地存储它们。
当玩具坏了
过去发生过这样的几个例子。 一些最臭名昭著的是:
- 费雪智能玩具熊专为 3-8 岁的儿童设计,作为“互动学习的朋友,可以说话、倾听和‘记住’孩子所说的内容,甚至在与孩子交谈时做出回应。” 然而,一个 连接的智能手机应用程序中的缺陷 可能使黑客能够未经授权访问用户数据。
- CloudPets 允许父母和他们的孩子通过一个可爱的玩具分享音频信息。 然而,用于存储密码、电子邮件地址和消息本身的后端数据库在云中存储的安全性并不高。 它在网上公开曝光 没有任何密码来保护它。
- My Friend Cayla 是一款配备智能技术的儿童玩偶,孩子们可以通过互联网查询向它提问并收到回复。 然而,研究人员发现了一个安全漏洞,该漏洞可能允许黑客通过玩偶监视儿童及其父母。 它引领了德国 电信监管机构敦促父母 出于隐私问题将设备装箱。 几乎相同 发生在一款名为 Safe-KID-One 的智能手表上 。
2019 年圣诞节,安全咨询公司 NCC Group 对七种智能玩具进行了研究,发现了 20 个值得注意的问题——其中两个被认为是“高风险”,三个是中等风险。 它发现 这些常见问题:
- 帐户创建和登录过程没有加密,暴露用户名和密码。
- 弱密码策略,这意味着用户可以 选择易于猜测的登录凭据.
- 模糊的隐私政策,通常不符合美国儿童在线隐私保护规则 (COPPA). 其他人违反了英国的隐私和电子通信条例 (PECR) 通过被动收集网络 cookie 和其他跟踪信息。
- 设备配对(即与另一个玩具或应用程序)通常通过蓝牙完成,无需身份验证。 这可以使范围内的任何人都可以与玩具连接:
- 流式传输令人反感或令人不安的内容
- 向孩子发送操纵性消息
- 在某些情况下(即儿童对讲机),陌生人只需要从商店购买另一台设备,就可以与该地区使用相同玩具的儿童进行交流。
- 理论上,攻击者可以通过向语音激活系统发送音频命令(即“Alexa,打开前门”)劫持具有音频功能的智能玩具来入侵智能家居。
如何减轻智能玩具的隐私和安全风险
由于智能玩具存在一定程度的安全和隐私风险,请考虑以下最佳实践建议来应对威胁:
- 购买前做你的研究: 检查是否对模型的安全和隐私凭证进行了负面宣传或研究。
- 保护您的路由器. 该设备是 家庭网络的中心 并与您家中的所有联网设备通话。
- 断电设备: 不使用时,请关闭设备电源以将风险降至最低。
- 熟悉玩具: 同时,确保任何较小的 孩子们在监督下.
- 检查更新: 如果玩具可以接收它们,请确保它运行的是最新的固件版本。
- 选择安全连接: 确保设备在通过蓝牙配对时使用身份验证,并使用与家庭路由器的加密通信。
- 了解任何数据的存储位置: 以及公司在安全方面的声誉。
- 使用 强而独特的密码 创建帐户时。
- 尽量减少您共享的数据量: 如果数据被盗和/或公司遭到破坏,这将降低您的风险敞口。
智能玩具确实可以具有教育性和娱乐性。 通过首先确保您的数据和孩子的安全,您将能够坐下来享受乐趣。
