E安全7月23日讯 美国联邦调查局（FBI）周一发布警告称，物联网玩具不止能给孩童带来乐趣，还可能侵犯儿童隐私，并影响安全。FBI鼓励消费者考虑购买智能、交互、联网玩具时应考虑网络安全。

儿童智能玩具和娱乐设备不断融合基于用户交互了解并迎合儿童行为的技术。这些玩具通常包含传感器、麦克风、相机、数据存储组件和其它多媒体功能，包括语音识别和GPS定位，可能会潜在收集儿童的个人信息，包括姓名、学校、活动计划和物理地址。考虑到大量个人信息可能会不知不觉被泄露，这些功能可能会影响儿童的隐私与安全。

不同玩具的功能和特点差别较大。在某些情况下，带麦克风的玩具在一定范围内可以记录并收集对话。诸如儿童姓名、学校、喜好和活动等信息可能会通过正常对话或在周围环境中被泄露。收集儿童个人信息，再加上玩具可以连接到互联万或其它设备，因此，隐私与物理安全可能会受到威胁。个人信息（例如姓名、出生日期、照片和地址）通常会在创建账号时提供。

此外，玩具公司会收集大量其它信息，例如语音信息、录音对话、过去与实时物理位置、互联网使用历史遗迹互联网地址/IP。暴露此类信息可能会为儿童身份欺诈行为创造机会。另外，还可能导致敏感数据（例如GPS位置信息，图片或视频视觉标识）被滥用，不法分子或可通过已知的兴趣爱好获取儿童信任。

消费者应当仔细查看玩具公司用户协议中的披露和隐私条款，并了解家庭个人数据发送与存储位置，包括是否发送至第三方服务。玩具公司急于将玩具推向市场以及本着使用方便的原则往往忽略了安全措施。消费者应上网了解安全研究人员发现的产品已知问题，或通过消费者报告了解产品的安全性。

儿童与玩具之间的交互与对话数据通常由玩具制造商或开发人员通过服务器或云服务进行存储发送。某些情况下，管理语音识别软件的第三方公司也会收集这类数据。如果未正确使用数字证书、加密保护数据传输和安全存储，录音、玩具Web应用程序（父应用程序）密码、家庭地址、Wi-Fi信息或敏感个人信息可能会被泄露。

• 直接连接，通过Wi-Fi连接到联网无线访问点；

• 间接连接，通过蓝牙连接到联网Android或iOS设备。

玩具中使用的网络安全措施，玩具的合作应用程序（ Partner Application），以及玩具直接连接的Wi-Fi网络对整个用户安全构成直接影响。

玩具、Wi-Fi访问点和存储数据或与玩具交互的互联网服务器之间加密数据的通信连接对缓解风险至关重要，因为黑客可能会利用玩具或潜在监听对话/音频信息。如果连接安全措施不到位，不具备PIN或密码等身份验证要求的蓝牙连接玩具与移动设备配对时可能会让未经验证的用户远程访问玩具。

今年3月，Spiral Toys公司制造的CloudPets系列动物填充玩具数据库遭到泄露，外泄的内容包括超过200万父母与儿童的语音消息，外加超过80万个帐户的电子邮箱地址与密码数据。因为该厂商制造的这些智能玩具能够记录并播放由父母与儿童通过互联网发出的语音消息。

2015年11月，技术新闻网站Motherboard就曾经披露玩具制造商VTech遭遇入侵，近500万名成年用户的姓名、电子邮箱地址、密码、住址以及超过20万儿童的姓名、性别与生日不慎外泄。而同一个月中，研究人员发现美泰公司生产的互联网接入型芭比娃娃中存在的漏洞可能允许黑客拦截用户的实时对话。

在这些案列中，有的玩具厂商明明知晓这些玩具中存在“漏洞”，却没有采取任何措施，或许是因为没有意识到用户的这些数据的重要性，又或许，玩具厂商重点在“玩具”，而没有更多的安全方面的资源投入。

在WannaCry出现之前，人们并不会那么在意系统升级、病毒库实时更新等简单的安全措施。

真正意义上的“安全玩具”，或许要等到用户和厂商切实体会到安全风险带来的“切肤之痛”才会出现。

FBI指出，《儿童网络隐私保护法》（COPPA）对针对13岁以下儿童的网站和在线服务运营商，以及故意收集13岁以下儿童个人在线信息的其它网站运营商和服务商提出相关要求。

2017年6月21日，美国联邦贸易委员会（FTC）更新指南，要求公司遵守COPPA确保联网玩具和相关服务安全，包括使用移动应用程序、联网位置服务和语音IP服务。

此外，若厂商无法对联网玩具收集的数据采取合理的安全措施，厂商可能面临FTC法案（禁止市场不公平竞争）的相关法律制裁。FBI鼓励所有消费者了解法律是否覆盖了相关玩具和Web服务。

FBI警告称，如果这些玩具遭遇黑客入侵，攻击者可能会这些个人信息和数据对儿童的安全构成威胁。FBI在公告中提出选择和使用物联网玩具的相关建议：

1、了解已知的安全问题。

2、仅使用安全可信的Wi-Fi连接并使用玩具。

3、了解玩具的互联网和设备连接安全措施：

• 使用蓝牙与设备配对时是否要求验证（通过PIN码或密码）。

• 将数据从玩具传输到Wi-Fi接入点、服务器或云服务时，是否使用加密。

4、了解玩具是否会接收固件和/或软件更新和安全补丁：

• 如果接收，确保玩具更新到最新版本，并安装任何可用的补丁。

5、了解用户数据存储位置---玩具公司、第三方公司或两者兼备——是否有任何公开的报告披露这些公司的声誉和网络安全态势。

6、仔细阅读披露与隐私条款（玩具公司和其它第三方），并考虑以下情况：

• 如果玩具公司遭遇网络攻击，消费者数据可能被泄露，公司知否会通知消费者？

• 如果玩具中存在的漏洞被发现，公司是否会通知消费者？

• 数据存储在何处？

• 谁能访问用户数据？

• 如果公司修改了披露和隐私条款，是否会通知消费者？

• 公司是否公开了联系信息？

7、如果存在父应用程序，可以通过该程序密切监视儿童使用玩具的情况（例如对话和录音）。

8、确保在不使用的情况下关闭玩具电源，尤其带麦克风和相机的玩具。

9、创建用户账号时，使用强登录密码（例如大小写字母、数字和特殊字符）。

10、仅提供必填信息。

同时，美国设有互联网犯罪投诉中心（Internet Crime Complaint Center），可提供大众或者受害者起诉。