智慧玩具嘗試提供給孩子不僅僅是一個玩具。許多玩具模型提供聲音識別、面部表情、上百個單詞和短語、對觸控和影響會有反應、還有學習和獲取新資訊的能力。這些特徵讓許多孩子都非常喜歡,讓他們假想的朋友變得更加真實。
最基本的智慧玩具可以簡單到有表情並且可以動,而這些特徵可以幫助開發智力。高階一點的智慧玩具可以是真實的生活伴侶,可以和孩子一起看星球大戰這樣的電影,並給出評論。
不像其他的IOT產品,智慧玩具沒有根據工業的最佳實踐來保護個人資訊、設計軟體、及時更新。
小孩+網際網路是一個新的領域。很快,我們發現小孩在成為真正的網路使用者之前,如何保護他們的數字足跡是我們需要擔心的問題。我們不知道小孩從出生開始就被收集和傳輸的資料會帶來什麼樣的影響。
像R2-D2這樣的智慧機器人,研究人員建議還是不要買了。
注:以星戰機器人角色R2-D2外觀打造的“Smart R2-D2”,是一款能夠透過手機、平板遠端操控的機器人,搭配專屬的“Star Wars Smart R2-D2 app”,R2-D2能利用機身底部的三顆輪子自由移動,同時頭部也會轉動,身上的感測器會偵測環境中的動作與聲音,透過App設定妥當,R2-D2就會依照指示的路徑移動,並且只需要裝上四顆2A電池就可以馬上開始玩。
有一個問題就是完成與智慧玩具進行互動需要收集的資料。簡單的遊戲和程式設計只需要一點記憶體和藍芽連線到計算機就可以載入,而複雜的語音識別和記憶使用者喜好和會話就需要把資料傳送到遠端伺服器進行訓練資料集的分析。
如果資料傳輸鏈中的所有點都配置合理,那麼這個過程就是完全安全的。不幸的是,在收集鏈中有很多空間容易發生漏洞。
從資料收集的角度看,在處理個人資訊方面應該做出適當的決策。收集的資料在傳輸時應該以一種安全的方式進行,要能夠應對第三方的竊聽。從收集鏈的另一端來看,所有的資料需要儲存在安全的伺服器上,而這種安全是透過打補丁、更新軟體、安全的雜湊演算法等保證的。而在過去,智慧玩具的製造商並沒有做到這些基準。
軟體更新遲緩是所有IOT裝置面臨的一個問題。雖然智慧玩具現在很智慧,但是對於漏洞的修復率可能會很少,甚至沒有。因為在IOT生產商之間的使用安全補丁的頻率差異很大。
還有,這些智慧產品的安全設計和手機app相關的安全設計並不好。2015年,香港電子製造商VTech就曾爆出SQL隱碼攻擊,導致數百萬兒童個人資訊洩漏。Troy Hunt描述了一些發現的安全問題:
· 網站不使用SSL
· 未使用強加密的演算法雜湊密碼
· 明文儲存安全問題
·Flash的擴充套件使用
除了產品中的安全問題以外,成人使用者經常會忽視安全軟體更新,在未詳細檢視隱私相關協議的情況下點選同意。像修改預設密碼這樣的安全方法可以讓一個家庭的嬰兒監視器和玩具熊避免被黑。
與小孩子坐在一起聊天,安全PII最佳實踐可能是不適用的。Fisher Price生產了一系列的智慧玩具,明確說明沒有個人資訊透過WiFi傳輸。而在IOT領域,這樣的宣告是很少見的。但2016年,Fisher Price智慧玩具熊被爆透過不安全的API洩漏了客戶和小孩的資料。對大多數的IOT產品來說,工業安全標準很低,以至於遵守了最佳安全實踐產品也是有安全風險的。
智慧玩具有所有IOT產品的風險,一些公司忽視了這些問題,並將這些風險產品已經應用到了孩子身上。這些安全漏洞帶來的危險促使FBI釋出了智慧玩具的一個安全建議,因為目前廠商執行一個共享的安全標準,所以研究人員建議為了孩子考慮,不要購買這些智慧玩具。
來源:嘶吼