随着亚马逊发布针对儿童的Echo Dot智能家居设备,它正在进入一个繁忙且不断增长的市场。超过三分之一的美国有孩子家庭至少有一个“物联网”连网玩具——就像一个可以听取并回答孩子询问的可爱生物。更多这样的设备正在世界各地运行,特别是北美地区。
这些玩具与在线数据库无线连接,以识别声音和图像,识别儿童的询问、命令和请求,并做出回应。它们经常被宣传为提高儿童的游戏质量,为儿童提供合作游戏的新体验,以及培养儿童的识字、数字和社交技能。
在线设备给所有用户带来了隐私问题,但儿童更容易受到伤害。消费者权益倡导者已经对玩具不安全的网络连接发出警报——无论通过Wi-Fi,或者通过蓝牙连接到智能手机或者平板电脑。
作为在安全、执法和应用技术方面具有学术和实践经验的人,我知道这些担忧并非假设。以下是物联网玩具将孩子的安全和隐私置于危险之中的四个例子。
1. 不安全的网络连接
一些物联网玩具可以连接到智能手机应用程序,无需任何形式的身份验证。因此,用户可以下载免费应用程序,在附近找到相关玩具,然后直接与玩该玩具的孩子进行交流。2015年,安全研究人员发现,拥有互联网功能的芭比娃娃Hello Barbie自动连接到不安全的Wi-Fi网络,广播网络名称为Barbie。对于攻击者来说,可以建立一个Wi-Fi网络并直接与一个毫无戒心的孩子进行交流。
英国消费者监督机构2017年透露,与Toy-Fi Teddy、I-Que智能机器人和Furby Connect玩具的不安全蓝牙连接也可能会发生同样情况。
这种玩具监控儿童的活动,即使是按预期使用并连接到玩具制造商的官方网络——也违反了德国的反监控法律。2017年,德国当局宣布My Friend Cayla娃娃是一种“非法间谍工具”,命令商店将它从货架上撤下来,并要求父母销毁或禁用该玩具。
不安全设备允许攻击者做的不仅仅是与儿童交谈:玩具也可以与另一台连网设备通话。2017年,安全研究人员劫持了一个连网毛绒玩具,并利用它让同一房间内的Amazon Echo智能扬声器下订单。
2. 跟踪孩子活动
一些连网玩具有GPS功能,如健身追踪器和智能手机中的GPS,即使用户是儿童,它也能显示用户的位置。此外,一些玩具使用蓝牙通信,可以在30英尺远的地方被检测到,如果那个范围内的人在寻找蓝牙设备——即使他们只是想把自己的耳机与智能手机配对——他们会看到玩具的名字,并且知道附近有一个孩子。
例如,挪威消费者委员会发现,销售给儿童的智能手表在没有加密情况下存储和传输位置,允许陌生人跟踪儿童的活动。该组织在其国内发布了警告,但这一发现导致德国当局禁止销售儿童智能手表。
3. 较差的数据保护
连网玩具有摄像头可以观察孩子,还有麦克风可以收听孩子说话,记录孩子看到和听到的内容。有时,它们会将这些信息发送给玩具公司的服务器,服务器会分析这些信息,并发回玩具应该如何响应的指示。但是这些功能也可能被劫持来收听家庭对话,或者拍摄孩子的照片或视频,而孩子或父母却从未注意到。
玩具制造商并不总是确保数据的安全存储和传输,即使法律要求也是如此:2018年,玩具制造商VTech因未能履行其加密私人数据的承诺和违反美国保护儿童隐私法律而被罚款65万美元。
4. 与第三方合作
玩具公司也与其他公司分享他们收集关于孩子的信息,就像Facebook与剑桥分析公司和其他公司分享用户数据一样。
他们还可以秘密地与孩子分享第三方的信息,例如,在挪威和美国,一家玩具公司因与迪士尼的商业关系而遭到抨击。在这种关系中,My Friend Cayla娃娃被安排与孩子们讨论最受欢迎的迪士尼电影,而家长没有被告知这种安排,批评者称这相当于玩具中的植入广告。
父母能做什么?
在我看来,根据联邦调查局的消费者建议,父母应该在购买前仔细研究物联网玩具,并在将这些设备带入家中之前评估其性能、安全性和隐私设置。如果没有适当的保障措施,无论是个人还是收集关于儿童活动的综合数据,儿童都将面临风险。