今天,我想和你聊聊兒童數據泄露|六一特輯
今天一早起來,宅宅的朋友圈就被一群天(zhuang)真(nen)的中年兒童刷屏了,紛紛表示這個節日是自己的,為了堵住質疑人士的嘴,還弄出一張嚴肅的過節證。。。(即使測試的年齡結果是這樣的)
總之,這些二三十的「兒童們」對於過節這件事情非常上心,熱情一點不比小朋友低~
但其實,這個充滿歡聲笑語的節日,還有一層顏色是凝重的灰色。它的初衷是為了悼念1942年6月10日的「利迪策慘案」和全世界所有在戰爭中死難的兒童。1942年6月10日,德國法西斯槍殺了捷克利迪策村16歲以上的男性公民140餘人和全部嬰兒,並把婦女和90名兒童押往集中營,後者也鮮有人僥倖逃脫。
所以今天,宅宅也想和諸位聊一個有點嚴肅的話題---兒童數據泄露。
在戰爭年代有兒童被傷害,在和平年代,也同樣有很多兒童正在遭受數據泄露所帶來的風險。
市面上過半 Android 應用涉嫌侵犯兒童隱私跟我們小時候不同,現在的小朋友一出生就生活在信息爆炸的年代(我沒有暴露年齡吧?),各類智能電子設備就是他們兒時的玩具,而商家們也絞盡腦汁在上面搭載豐富的應用來獲取關注。
但是,這些眼花繚亂的應用又有多少是考慮到了兒童數據安全的?有家研究機構認真的做了一波調查。
根據國際計算機科學研究所在今年的一份新研究報告,市面上起碼有過半的 Android 應用,涉嫌違反了《兒童在線隱私保護法案》(COPPA),現在來說說這個結果是如何得出的。
研究人員首先開發並使用了一款自動化工具,對 5855 款標記為「少兒或家庭軟體」的 Android 應用進行了分析,一共發現了 3337 款面向兒童或者家庭的手機軟體在違規採集少兒隱私信息。
其中,281 個是在並未獲得家長同意的條件下,違規採集少兒用戶的通訊錄和位置信息;另外1100個安卓軟體將少兒的隱私信息開放給了外部第三方使用(使用功能受到限制);而剩下的2281款軟體涉嫌違反谷歌的使用條款(與分享持久性標示符有關,可導致跨設備平台的身份追蹤)。
在這些數據中,並未包含iOS平台的手機軟體。
研究指出,通常蘋果 iOS 在第三方軟體獲取用戶隱私信息以及對外分享信息方面受到更加嚴格的管理,用戶隱私保護要好於安卓系統。
出現這種狀況的原因之一,是因為谷歌的 Android 是面向全球的開源的系統,各手機廠商可以自由修改定製,對於應用的隱私管理規定,實際上掌握在這些手機廠商手中,而不是谷歌或是各國政府。
千萬別以為我這是在給 iOS 打call,蘋果的問題同樣嚴重!
iOS 問題也很嚴重,大量兒童隱私數據已在暗網上售賣
對於家長而言,不得不接受這樣一個現實---手機等智能設備正在越來越多的吸引孩子的注意力。
嗅覺靈敏的商家,早就看到了這塊巨大的市場,一款名為 TeenSafe 的監管應用就俘獲了不少家長的心,他們藉此可以掌握小孩的所處位置以及知曉他們發送簡訊的習慣。
與普通的蘋果用戶不同,要想實現上述功能,必須雙方都下載這個應用,而且必須關閉蘋果的雙重認證功能,這樣才能更容易的登錄並查看到孩子的 iCloud 數據,這本是一個為了兒童安全而設計的應用。
但不久前,一位安全研究員 Robert Wiggins 就發現 , TeenSafe 這款家長監管應用,是將兒童的數據存放在兩台亞馬遜伺服器上,而這些數據卻沒有被保護起來,已經有幾千個賬戶信息被泄漏。其中一台伺服器保存的是測試數據,而另一台中包含兒童的 Apple ID 郵箱地址和密碼,不僅是兒童的賬號密碼,一些家長的蘋果賬號恐怕也已經泄露。
事件曝光後,TeenSafe 向媒體發表聲明稱,它們已經關閉了相關伺服器並開始向可能受到影響的客戶發出警告。
其實,TeenSafe 並不是第一個被曝光的家長監管應用,早在2015年,另一款針對兒童的安全應用「mSpy」也曾暴露出嚴重的安全問題,在東窗事發前,這款標榜「家長可以通過 mSpy 對小孩的移動設備進行追蹤,7×24小時在線客服和256位加密更讓mSpy保障孩子安全」的應用,受到大批父母青睞。
但隨後,安全研究人員發現,大量mSpy用戶的郵箱、簡訊、支付信息、位置等數據出現在「暗網」上,這直接導致數以千計的兒童數據陷入危險境地。
這還是被曝光出來的安全問題,但還有多少是黑客已經掌握但還沒有被公布的,我們不得而知。
近兩年的兒童數據泄露事件接下來,雷鋒網為大家盤點幾類兒童數據的安全事件,也許未來你或你的家人在考慮成為使用者時,會有更加理性的認知。
2017年5月,一款名為「Cayla」的智能玩偶遭到了德國的禁售,引起了全球各地父母的擔憂,他們主要擔憂的一個潛在威脅就是:孩子和其他人之間的對話會被記錄並轉發。
而在稍早之前,聯網玩具 CloudPets 的生產商 Spiral Toys 就遭遇了數據泄漏事件,泄漏了超過兩百萬兒童及其父母的語音信息,以及超過 80 萬電子郵件和密碼。
2017年11月,挪威消費者委員會(NCC)和安全公司 Mnemonic 發表的研究報告指出,在給孩子買 Gator 或者 Xplora 這種智能手錶時,父母應該三思。 因為用戶和掌握用戶數據的公司之間沒有法律協議,在被調查的品牌手錶中,沒有一款手錶可以刪除孩子的數據,那些手錶廠商也無法確保營銷人員不會用這些數據向孩子推銷產品。
更為嚴重的是,對於所有數據的存儲位置,商家也沒有明確說明。該報告的作者還擔心,這種智能手錶向用戶灌輸了一種「錯誤的安全感」。兒童智能手錶一貫推崇它具有緊急呼叫按鈕,在兒童遇到緊急狀況時,可以按此按鈕,分享他們的地理位置,這樣當孩子離開了某個特定領域,父母可以收到警示。
但事實上,這些功能在現實測試中被證明是「不可靠的」!
除了娛樂性的應用和玩具,國外安全人員還發現了更加觸目驚心的情況---多家醫院的兒童病例信息和學校的學生檔案也正在被兜售!
黑客 「Skyscraper」 曾在2017年4月向媒體爆料,在暗網上有超過50萬份兒童病歷可供人下載。這些病歷包含了這些兒童及其父母的姓名、社會保險號、電話號碼以及住址。
雖然該媒體並未點名被黑客攻擊的機構名稱,但它提到,除了醫院,還有多所小學系統被黑客攻擊,超過20萬份學生檔案被泄露。
說了這麼多國外的情況,我國的狀況又如何?
據相關數據顯示,國內教育 APP總量超過7萬個,約佔全國APP市場份額的10%,其中,家長對於幼教類APP的花費在教育類APP中位居榜首!這類軟體竊取用戶隱私的行為非常猖獗,追蹤用戶位置更會對兒童的人身安全造成顯著威脅。
而在未來,類似智能手錶、智能玩具、智能音箱等包含有大量的身份信息甚至是互動信息的物聯網設備,將越來越多的進入到兒童的生活中,針對數據泄漏的問題,也許歐洲剛剛出台的 GDPR(通用數據保護條例)對我們有些參考作用。
GDPR 對未成年人的數據保護有特殊要求,它規定企業和組織必須取得父母的同意,才能處理 16 歲以下兒童的個人數據,這意味著,未來取得兒童的數據將變得更為困難,而父母作為監護人也將承擔更大的責任。
其實,今天正好是《中華人民共和國網路安全法》正式施行一周年,在去年的今天,與《網路安全法》同步施行的還有最高人民法院和最高人民檢察院發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》),《解釋》中明確了「公民個人信息」的範圍,以及非法獲取公民個人信息的認定標準及量刑標準等。
未來,如果你認為自己或者家人的個人信息受到了侵犯,可以拿起法律武器保護自己。現在,宅宅把其中重點的內容整理如下:
第一,擴大「公民個人信息」範圍並明確處理罰則。電商、社交、搜索、地圖、直播、雲等,收集使用的用戶行蹤軌跡等活動情況以及全平台賬號密碼信息被納入「公民個人信息」範圍,未來,大家可以根據具體情況來根據法律條例找到標尺和抓手。
第二,收集個人信息,需讓用戶「知情同意」。「網路產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意」。
第三,在提供互聯網服務的同時,要有能力採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。
目前,國內的這兩部法規都從能夠獲取用戶個人信息的互聯網企業及個人,到獲取信息後的可處理方式等做了規範,但對於針對違法獲取和處理兒童信息,還沒有具體的處罰措施,所以未來針對兒童的數據安全仍然任重而道遠。
雷鋒網 VIA 電腦報、freebuf
最後,希望這篇有些嚴肅的文章沒有影響各位過節的心情,在這裡,還是要祝願各位寶寶節日快樂,特此奉上雷鋒網的兒童節海報一張,好了,我去吃零食了~
※阿里全資收購先聲互聯 中科院前聲學研究員付強帶隊加盟
※微軟開源 repo 1.0,旨在創造深度學習框架通用語言
TAG:雷鋒網 |