今天,我想和你聊聊儿童数据泄露 | 六一特辑
今天一早起来,宅宅的朋友圈就被一群天(zhuang)真(nen)的中年儿童刷屏了,纷纷表示这个节日是自己的,为了堵住质疑人士的嘴,还弄出一张严肃的过节证。。。(即使测试的年龄结果是这样的)
总之,这些二三十的“儿童们”对于过节这件事情非常上心,热情一点不比小朋友低~
但其实,这个充满欢声笑语的节日,还有一层颜色是凝重的灰色。它的初衷是为了悼念1942年6月10日的“利迪策惨案”和全世界所有在战争中死难的儿童。1942年6月10日,德国法西斯枪杀了捷克利迪策村16岁以上的男性公民140余人和全部婴儿,并把妇女和90名儿童押往集中营,后者也鲜有人侥幸逃脱。
所以今天,宅宅也想和诸位聊一个有点严肃的话题---儿童数据泄露。
在战争年代有儿童被伤害,在和平年代,也同样有很多儿童正在遭受数据泄露所带来的风险。
市面上过半 Android 应用涉嫌侵犯儿童隐私
跟我们小时候不同,现在的小朋友一出生就生活在信息爆炸的年代(我没有暴露年龄吧?),各类智能电子设备就是他们儿时的玩具,而商家们也绞尽脑汁在上面搭载丰富的应用来获取关注。
但是,这些眼花缭乱的应用又有多少是考虑到了儿童数据安全的?有家研究机构认真的做了一波调查。
根据国际计算机科学研究所在今年的一份新研究报告,市面上起码有过半的 Android 应用,涉嫌违反了《儿童在线隐私保护法案》(COPPA),现在来说说这个结果是如何得出的。
研究人员首先开发并使用了一款自动化工具,对 5855 款标记为“少儿或家庭软件”的 Android 应用进行了分析,一共发现了 3337 款面向儿童或者家庭的手机软件在违规采集少儿隐私信息。
其中,281 个是在并未获得家长同意的条件下,违规采集少儿用户的通讯录和位置信息;另外1100个安卓软件将少儿的隐私信息开放给了外部第三方使用(使用功能受到限制);而剩下的2281款软件涉嫌违反谷歌的使用条款(与分享持久性标示符有关,可导致跨设备平台的身份追踪)。
在这些数据中,并未包含iOS平台的手机软件。
研究指出,通常苹果 iOS 在第三方软件获取用户隐私信息以及对外分享信息方面受到更加严格的管理,用户隐私保护要好于安卓系统。
出现这种状况的原因之一,是因为谷歌的 Android 是面向全球的开源的系统,各手机厂商可以自由修改定制,对于应用的隐私管理规定,实际上掌握在这些手机厂商手中,而不是谷歌或是各国政府。
千万别以为我这是在给 iOS 打call,苹果的问题同样严重!
iOS 问题也很严重,大量儿童隐私数据已在暗网上售卖
对于家长而言,不得不接受这样一个现实---手机等智能设备正在越来越多的吸引孩子的注意力。
嗅觉灵敏的商家,早就看到了这块巨大的市场,一款名为 TeenSafe 的监管应用就俘获了不少家长的心,他们借此可以掌握小孩的所处位置以及知晓他们发送短信的习惯。
与普通的苹果用户不同,要想实现上述功能,必须双方都下载这个应用,而且必须关闭苹果的双重认证功能,这样才能更容易的登录并查看到孩子的 iCloud 数据,这本是一个为了儿童安全而设计的应用。
但不久前,一位安全研究员 Robert Wiggins 就发现 , TeenSafe 这款家长监管应用,是将儿童的数据存放在两台亚马逊服务器上,而这些数据却没有被保护起来,已经有几千个账户信息被泄漏。其中一台服务器保存的是测试数据,而另一台中包含儿童的 Apple ID 邮箱地址和密码,不仅是儿童的账号密码,一些家长的苹果账号恐怕也已经泄露。
事件曝光后,TeenSafe 向媒体发表声明称,它们已经关闭了相关服务器并开始向可能受到影响的客户发出警告。
其实,TeenSafe 并不是第一个被曝光的家长监管应用,早在2015年,另一款针对儿童的安全应用“mSpy”也曾暴露出严重的安全问题,在东窗事发前,这款标榜“家长可以通过 mSpy 对小孩的移动设备进行追踪,7×24小时在线客服和256位加密更让mSpy保障孩子安全”的应用,受到大批父母青睐。
但随后,安全研究人员发现,大量mSpy用户的邮箱、短信、支付信息、位置等数据出现在“暗网”上,这直接导致数以千计的儿童数据陷入危险境地。
这还是被曝光出来的安全问题,但还有多少是黑客已经掌握但还没有被公布的,我们不得而知。
近两年的儿童数据泄露事件
接下来,雷锋网为大家盘点几类儿童数据的安全事件,也许未来你或你的家人在考虑成为使用者时,会有更加理性的认知。
2017年5月,一款名为“Cayla”的智能玩偶遭到了德国的禁售,引起了全球各地父母的担忧,他们主要担忧的一个潜在威胁就是:孩子和其他人之间的对话会被记录并转发。
而在稍早之前,联网玩具 CloudPets 的生产商 Spiral Toys 就遭遇了数据泄漏事件,泄漏了超过两百万儿童及其父母的语音信息,以及超过 80 万电子邮件和密码。
2017年11月,挪威消费者委员会(NCC)和安全公司 Mnemonic 发表的研究报告指出,在给孩子买 Gator 或者 Xplora 这种智能手表时,父母应该三思。 因为用户和掌握用户数据的公司之间没有法律协议,在被调查的品牌手表中,没有一款手表可以删除孩子的数据,那些手表厂商也无法确保营销人员不会用这些数据向孩子推销产品。
更为严重的是,对于所有数据的存储位置,商家也没有明确说明。该报告的作者还担心,这种智能手表向用户灌输了一种“错误的安全感”。儿童智能手表一贯推崇它具有紧急呼叫按钮,在儿童遇到紧急状况时,可以按此按钮,分享他们的地理位置,这样当孩子离开了某个特定领域,父母可以收到警示。
但事实上,这些功能在现实测试中被证明是“不可靠的”!
除了娱乐性的应用和玩具,国外安全人员还发现了更加触目惊心的情况---多家医院的儿童病例信息和学校的学生档案也正在被兜售!
黑客 “Skyscraper” 曾在2017年4月向媒体爆料,在暗网上有超过50万份儿童病历可供人下载。这些病历包含了这些儿童及其父母的姓名、社会保险号、电话号码以及住址。
虽然该媒体并未点名被黑客攻击的机构名称,但它提到,除了医院,还有多所小学系统被黑客攻击,超过20万份学生档案被泄露。
说了这么多国外的情况,我国的状况又如何?
据相关数据显示,国内教育 APP总量超过7万个,约占全国APP市场份额的10%,其中,家长对于幼教类APP的花费在教育类APP中位居榜首!这类软件窃取用户隐私的行为非常猖獗,追踪用户位置更会对儿童的人身安全造成显著威胁。
而在未来,类似智能手表、智能玩具、智能音箱等包含有大量的身份信息甚至是互动信息的物联网设备,将越来越多的进入到儿童的生活中,针对数据泄漏的问题,也许欧洲刚刚出台的 GDPR(通用数据保护条例)对我们有些参考作用。
GDPR 对未成年人的数据保护有特殊要求,它规定企业和组织必须取得父母的同意,才能处理 16 岁以下儿童的个人数据,这意味着,未来取得儿童的数据将变得更为困难,而父母作为监护人也将承担更大的责任。
其实,今天正好是《中华人民共和国网络安全法》正式施行一周年,在去年的今天,与《网络安全法》同步施行的还有最高人民法院和最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),《解释》中明确了“公民个人信息”的范围,以及非法获取公民个人信息的认定标准及量刑标准等。
未来,如果你认为自己或者家人的个人信息受到了侵犯,可以拿起法律武器保护自己。现在,宅宅把其中重点的内容整理如下:
第一,扩大“公民个人信息”范围并明确处理罚则。电商、社交、搜索、地图、直播、云等,收集使用的用户行踪轨迹等活动情况以及全平台账号密码信息被纳入“公民个人信息”范围,未来,大家可以根据具体情况来根据法律条例找到标尺和抓手。
第二,收集个人信息,需让用户“知情同意”。“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”。
第三, 在提供互联网服务的同时,要有能力采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
目前,国内的这两部法规都从能够获取用户个人信息的互联网企业及个人,到获取信息后的可处理方式等做了规范,但对于针对违法获取和处理儿童信息,还没有具体的处罚措施,所以未来针对儿童的数据安全仍然任重而道远。
雷锋网 VIA 电脑报、freebuf
最后,希望这篇有些严肃的文章没有影响各位过节的心情,在这里,还是要祝愿各位宝宝节日快乐,特此奉上雷锋网的儿童节海报一张,好了,我去吃零食了~