隨著人工智能的發(fā)展，為了讓寶寶們贏在起跑線上，玩具熊、玩具狗、都推出了“人工智能”版本，成為擁有語音對(duì)話功能的高等機(jī)器生物。然而，這些智能的玩具背后，也埋藏著深深的隱私問題。

據(jù)報(bào)道，CloudPets 制造商 Spiral Toys 的兒童語音識(shí)別和賬戶信息存在暴露隱患。攻擊者只需掌握一定的 Web 搜索技能，就能輕易竊取和勒索用戶數(shù)據(jù)。對(duì)于那些希望通過聯(lián)網(wǎng)毛絨語音玩具來吸引孩子興趣的家長們來說，這顯然不是一個(gè)好消息。網(wǎng)絡(luò)安全專家 Troy Hunt、以及 Vice 網(wǎng)絡(luò)安全副刊 Motherboard 在報(bào)告中指出，廠家竟然將用戶數(shù)據(jù)存在一個(gè)開放數(shù)據(jù)庫中，無需密碼就能被任何人訪問到包含電子郵件地址在內(nèi)的私密信息（密碼也可以被輕易猜中）。

我們很難相信CloudPets（或者mReady）方面此前并未第一時(shí)間了解到情況，但相關(guān)數(shù)據(jù)庫仍持續(xù)處于開放狀態(tài)并隨后遭到惡意方的訪問。很明顯，惡意人士變更了該系統(tǒng)的安全配置，而廠商則無法忽視對(duì)方留下的勒索要求。因此數(shù)據(jù)庫暴露與勒索行為必然已經(jīng)被廠商所發(fā)現(xiàn)，但其卻從未對(duì)此事進(jìn)行通報(bào)。

此次數(shù)據(jù)泄露進(jìn)一步引發(fā)了人們對(duì)于互聯(lián)網(wǎng)接入型智能玩具在隱私及安全性方面薄弱表現(xiàn)的擔(dān)憂。技術(shù)新聞網(wǎng)站Motherboard就曾經(jīng)披露玩具制造商VTech遭遇入侵，近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。就在一個(gè)月后，一位研究人員又發(fā)現(xiàn)美泰公司生產(chǎn)的互聯(lián)網(wǎng)接入型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實(shí)時(shí)對(duì)話。

除了將客戶數(shù)據(jù)庫保存在可公開訪問的位置之外，Spiral Toys公司還利用一款未經(jīng)任何驗(yàn)證機(jī)制保護(hù)的Amazon托管服務(wù)存儲(chǔ)客戶的個(gè)人資料、兒童姓名及其與父母、親屬及朋友間的關(guān)系信息。只需要了解文件的所處位置，任何人都能夠輕松獲取到該數(shù)據(jù)——Hunt表示，文件位置信息亦不難找到。

更奇怪的是，對(duì)于安全管理如此寬松的產(chǎn)品，該服務(wù)本采用了極為嚴(yán)密的bcrypt散列函數(shù)進(jìn)行密碼保護(hù)。然而遺憾的是，CloudPets使用了有史以來最為寬松的一項(xiàng)密碼策略。其允許使用任何密碼內(nèi)容——例如單個(gè)字符“a”或者短鍵盤序列“qwe”這樣的密碼設(shè)置。

Hunt寫道，“這意味著當(dāng)我在將bcrypt哈希輸入密碼破解應(yīng)用hashcat并參照全球使用頻率最高的密碼詞匯表時(shí)（包括‘qwerty’、‘password’以及‘123456’等），我能夠在很短的時(shí)間內(nèi)破解大量密碼?！?/p>

美國針對(duì)兒童網(wǎng)絡(luò)隱私有明確的立法，即“美國兒童網(wǎng)絡(luò)隱私保護(hù)法”。其規(guī)定，商業(yè)網(wǎng)站必須經(jīng)過家長同意，才能夠獲取13歲以下兒童的個(gè)人信息。但問題是，保護(hù)法并沒有明確細(xì)化到“使用個(gè)人信息營銷”的層面。也就是說，玩具廠商非常容易打擦邊球，通過一個(gè)寬泛的條款，讓家長忽略信息收集問題。另外，如果玩具公司私下廣泛收集數(shù)據(jù)，而數(shù)據(jù)被黑客駭入獲得，那么后果可能更為嚴(yán)重。

顯然，基于物聯(lián)網(wǎng)技術(shù)的智能玩具雖然僅僅處于起步階段，但前景無疑是非常明朗的。在大量產(chǎn)品推出之時(shí)，相關(guān)的法律法規(guī)如果沒有跟上，對(duì)于用戶的傷害是無法估計(jì)的。所以，家長們?cè)跒楹⒆觽冞x購新酷玩具的同時(shí)，還要做好心理準(zhǔn)備，購買智能玩具的時(shí)候需慎重。

cc

收藏 海報(bào)分享