间谍智能手表突出了孩子的隐私风险

儿童智能手表在过去几年中越来越受欢迎,既可以鼓励体育锻炼以对抗日益严重的肥胖流行病,也可以帮助父母在孩子看不见时更好地跟踪他们。 但是,挪威安全研究人员团队最近的一项发现应该让父母在为孩子购买昂贵的电子设备之前一定要停下来。

Harrison Sand 和 Erlend Leiknes 是两个安全侦探,他们在一款面向儿童的欧洲智能手表中发现了一个无证后门。 他们 宣称 发现恶意代码——源自中国一家受制裁的科技公司——允许某人远程捕获相机快照、窃听语音通话和跟踪位置。

[Know your privacy risks. Sign up for the ExpressVPN Blog Newsletter.]

这款由中国公司奇虎 360 制造并由挪威公司 Xplora 更名的智能手表已在欧洲广泛销售。 这些手表预装了由奇虎 360 开发的 19 个应用程序。

该设备的零售价通常约为 200 美元,由 Android 驱动。 它能够在遇险时拨打和接听语音电话并发送紧急消息。 父母还可以通过手机上的应用程序远程监控孩子的位置。 Xplora 声称,到目前为止,它在欧洲和美国的市场上已售出超过 350,000 只手表

隶属于挪威公司 Mnemonic Labs 的安全研究人员表示,后门只能使用秘密加密密钥激活,因此它并不像看起来那样容易受到攻击。 然而,他们的调查结果表明,有几方可以访问后门,包括 Xplora 和奇虎 360。

Xplora 收到了有关违规后门的通知,并已发布补丁来修复该问题。 在一份声明中,它表示自收到通知以来进行了广泛的审计,并且“没有发现在助记符测试之外使用安全漏洞的证据。”

Sand 和 Leiknes 详细记录了该产品的技术令人印象深刻。 在一个例子中,他们能够控制远程功能将他们办公室的图片上传到 Xplora 服务器。

研究人员指出,后门不是漏洞、错误配置或疏忽。 其深厚的技术复杂性意味着该算法有一定的意图。

智能玩具的隐私风险

Xplora 的后门代表着重大的安全风险,但它远不是针对儿童的产品中第一次侵犯隐私。

2018年儿童玩具制造商伟易达电子 同意支付 罚款 650,000 美元,以了结联邦贸易委员会的指控,指控伟易达“违反美国儿童隐私法,在未提供直接通知和征得父母同意的情况下收集儿童的个人信息,并且未能采取合理措施保护数据安全它收集了。”

2017 年,美国联邦调查局发布了 公开警告 敦促消费者注意联网玩具的安全风险,称黑客可以利用漏洞“窥探孩子的姓名、学校、位置、好恶”。

联邦调查局没有命名任何具体产品,但表示传感器、摄像头、麦克风、数据存储组件、语音识别算法和 GPS 监视器的阵列可能会受到损害,以泄露个人身份信息并导致儿童身份欺诈。

还有许多其他被黑玩具的例子。 德国 不得不禁止 Cayla 是一个联网玩偶,担心黑客可能针对儿童。 CloudPets 是一款流行的联网泰迪熊,它也遭受了大规模数据泄露,导致数千名用户的语音记录被泄露。 健身应用不是 只记录你的脚步,但也可能是您的地理位置、心率、睡眠模式和消耗的卡路里。

你怎么能保证你的孩子安全?

对于担心孩子潜在接触的父母,可以遵循以下一些最佳做法:

  • 使用安全的 Wi-Fi 密码: 确保您的 家庭互联网密码 是字母数字的,很难猜到。 黑客在弱密码上茁壮成长,所以不要给他们优势。 并避免将玩具连接到 公共 Wi-Fi 网络.
  • 不使用时关闭: 不要一直开着玩具。 每当您的孩子玩完玩具或智能手表后,请务必将其关闭。
  • 使用最少的信息:注册或注册帐户时,请务必输入尽可能少的信息。 不要包含您孩子的姓名,如果可以,请使用刻录机电子邮件帐户。
  • 教育你的孩子: 你的孩子会像他们被教导的那样保持警惕。 隐私培训应该从小开始,提醒孩子们不要在网上泄露个人信息,并且应该避免在网络上与陌生人聊天,就像他们在现实生活中所做的那样。
  • 报告不稳定的行为:如果您觉得您的设备有问题,请将此事报告给您所在国家或州的相关当局。 当涉及到您的隐私时,不要采取宽容的态度。

这些年 ExpressVPN 奖学金获得者关于儿童隐私权的论文