​“放牛班的秘密花园”原创出品

作者：Brian Barrett  译者：Sail2008

图片来源：.GETTY IMAGES

对节日到来前最后一刻才决定购物的顾客来说，高科技玩具具有特别的吸引力。它们深受喜爱，从好多在线零售商那里都能买到，通常只需两天就能到货，甚至更快。网络连接还可能让这些华而不实的小孩子玩意儿更有吸引力。它不只是个泰迪熊，它是个机器学习的泰迪熊。而从另一方面来看，却并非如此。

这并非一篇通常所谓的反技术或与孩子相关的技术的长篇大论。我们有很多安全可靠的办法供孩子们上网并从中受益。而需要给予重要提醒的是，具有在线连接功能的玩具从核心上看，只不过是另一个物联网设备，经常充斥着相同的难题和弱点。此外，它们还有额外招人厌恶的地方，比如时不时把麦克风或摄像头对准你的孩子。

“人们一般不太可能跨越这一认识鸿沟，”明白互联网玩具只不过是物联网版图中的另一块，安全公司Rapid7的研究主管Tod Beardsley说。然而以安全防范措施差的联网设备为目标的黑客，并不会对普通摄像头和具有Wi-Fi功能的玩偶进行区分。“许多基础设施看上去用的就是普通的老旧Linux或Android系统。攻击者毫不在意，从内部来讲它只不过是一台计算机，”Beardsley说。

黑客天堂

这使联网玩具成了加入所谓僵尸网络的最合适对象。僵尸网络有一支庞大的僵尸机器大军，黑客利用它针对网站、服务器或互联网基础设施的其他部分发动Dos（拒绝服务）攻击。还记得去年秋天席卷全美的互联网大规模瘫痪那个下午么？一个僵尸网络正是其幕后黑手。

你没准儿会说，好吧，的确如此，但那听起来也没那么糟嘛，至少它对我给孩子买的讲笑话的对话式机器人就没啥影响嘛。嗯，有道理！然而，今年FBI发布了一个针对联网玩具的警告，这是有原因的，而这个警告针对的还不只是被僵尸网络所捕获的威胁。

“这些玩具通常包括传感器、麦克风、摄像头、数据存储部件，以及其他多媒体功能——包括语音识别和GPS选项，”FBI写道。“这些特点可能把孩子的隐私和安全置于危险之地。”

这并非凭空臆造的危言耸听。美泰(Mattel)公司（【译者注：美泰公司是全球最大的玩具公司之一】）2015年推出其会说话、能连上Wi-Fi的Hello芭比娃娃，结果证明这个产品很容易遭到黑客攻击。攻击者本来是可以窃取任何东西的，从密码到实际的片言只语，直到这家玩具巨头推出了补救方法。最近，挪威消费者委员会发现，对来自多家公司的儿童智能手表进行追踪，甚至用它们联系佩戴这块手表的孩子，简直轻而易举。

这份名单还在继续，甚至还包括现实发生的结果。3月，一连串物联网泰迪熊组成了号称宠物云（Cloudpets）的僵尸网络。这些毛茸茸的小家伙儿把它们录下来的两百万条留言曝光在一个在线数据库上，任何人都可能收听到它们，更别说曝光的资料中还有筛选出来的80万封邮件和密码。这份名单还在继续，但你已经明白我的意思了。

当然，并非所有的联网玩具都不安全，正如不是所有的家庭摄像头都会成为黑客的猎物。但物联网行业总的来说要实现全面的安全性，还有很长的路要走。此外，黑客甚至不是最令你担忧的事——多数情况下，这些公司自己才是最令我们担忧的。

隐私第一

去年，几个倡导小组向联邦贸易委员会发起联合投诉，投诉对象是两个具体产品，分别是由Genesis Toys、My Friend Cayla和i-Que制造。投诉宣称，这几家公司“用不正当的欺诈手段收集、利用并分享儿童的声音音频文件，而没有对此给予充分警告或征得父母的同意。”这些玩具在德国已经被明令禁止，并且已经在塔吉特（Target）百货和玩具反斗城（Toys R Us）被下架。（你还能在亚马逊网站上发现它们，但据本文所知数量有限。）对于外界的置评要求，Genesis Toys并未作出回应。

隐私的拥护者认为这两个具体投诉表明了对该行业的广泛担忧。

“销售联网玩具的公司不仅从销售设备上获利，”“远离商业广告的童年运动”（Campaign for a Commercial-Free Childhood）的活动经理David Monahan宣称。该组织致力于结束以儿童为目标的营销活动。“它们从小孩子那里收集大量敏感信息并将其变现，从而从中获利。”

而被称为COPPA的儿童在线隐私保护规则（Children’s Online Privacy Protection Rule）则对这种数据收集活动有明确限制。它通常规定在数据收集发生前必须征得父母的同意。在对圣诞礼物进行设置的狂热中，你很容易点击“yes”，而根本没有意识到你究竟在同意什么。

“联网玩具是一场隐私噩梦，”非营利组织“电子隐私信息中心”（Electronic Privacy Information Center）主席Marc Rotenberg这样表示。“或许圣诞老人才有资格确定，谁是不守规矩的，谁是好人。而不是由这些玩具公司来决定。”

让它运转起来

如果你打算送一台联网设备，或者已经买下一台，才发现找不到收据来退货，你能做的最重要的事情，就是完全搞懂它究竟如何运转，它收集了什么信息，它拿这些信息做什么。

“如果你看了看隐私政策，感觉需要请一位律师来才能搞懂它，这就是个危险信号了，”Monahan说。

这种审慎调查还可以延伸到对该设备进行保护。“联网玩具往往充斥着默认用户名和密码，”Beardsley说。这使得破解它们成了轻而易举的事情。花点时间对设备进行定制化设置吧，创建一个独一无二的密码，另外弄明白制造商是否会以及如何推送软件更新，通常它含有非常重要的安全补丁。

还要知道这些玩具是怎么运行的。“任何拥有输入传感器比如摄像头或麦克风的设备，必须在开机状态下像广告宣称的那样运行，”Beardsley说。Amazon Echo音箱或Google Home音箱持续监听周围的环境，但是直到听到“唤醒词”才会向服务器发回数据。同样的，使用摄像头检测颜色的玩具可能一直在监视周围环境。在什么情况下它会通过互联网传送自己看到听到或存储的东西，这可能还不清楚。

Google Home & Amazon Echo

事实证明，拿Echo音箱来进行比较还有其他原因。那些设备还增加了隐私的风险，但至少你在与Alexa或Google Assistant【译者注：Alexa是Echo智能音箱运行的软件系统，Google Assistant是Google Home 音箱运行的软件系统】交流时，你明白这些风险。“作为成年人，我们围绕在线交易进行决策，自己放到网上去的东西是什么，何种信息比较容易受到攻击，我们对此心知肚明，”Monahan说。“小孩子却并不真正明白这一点。他们对信息分享无法做出清醒的选择。”

那些潜在问题甚至导致美泰（Mattel）公司取消了一款一度被高度追捧的产品，它原本都已经即将上市了。它的亚里士多德人工智能助手（Aristotle AI assistant）原本是为折叠式婴儿推车设计，设计上有些类似Echo音箱，但后来出于对隐私的担忧，该公司于10月份叫停了这个产品。

到了这个时候，你还需要什么更多的信息？当玩具公司甚至都开始考虑改变主意的时候，现在才停止送联网玩具已经有些晚了。

本文编译自《连线》杂志网站2017年12月21日的一篇文章。

更多精彩内容，请订阅我们的凤凰号，或关注我们的同名头条号、公众号、百家号、企鹅号、新浪博客、新浪微博，与我们互动。

扫描二维码关注放牛班的秘密花园

聚焦创业创新、青少年成长、创新教育