为了开创新的玩具营收领域,包括美泰儿(Mattel)等玩具大厂在内,许多厂商积极进攻智慧连网玩具,如美泰儿的“哈啰芭比”(Hello Barbie),但智慧连网玩具或儿童用行动装置也成为骇客入侵目标,香港伟易达(VTech)于 2015 年 11 月底发现遭到骇客入侵,全球 640 万儿童的个人资料外流,而美泰儿的哈啰芭比以及旗下智慧小熊也遭揭露有资安漏洞。
伟易达成立于 1976 年,初期以打造 Pong 游戏机起家,之后由玩具市场跨入电子学习产品,并进入无线电话业务成为全球最大无线电话生产商,伟易达对玩具及电子学习产品市场仍然十分积极,2016 年 2 月宣布将斥资 7,200 万美元购并教育玩具及儿童电子装置制造商 LeapFrog。LeapFrog 曾经是市场宠儿,在 2003 年创下年营收 6.8 亿美元的最高纪录,然而其主产品儿童用平板装置 LeapPad 在苹果(Apple)iPad 强势竞争下渐渐不敌,2015 年 LeapFrog 营收衰退至不到 3.4 亿美元,只有最高时期的一半,因而求嫁给伟易达。
然而,伟易达购并 LeapFrog 所打下的江山,却可能因为资安疑虑而流失。2015 年 11 月底伟易达遭科技网站 Motherboard 爆料遭骇客入侵,客户家长及儿童的资料包括姓名、电子邮件、密码、个人住址、照片,以及与父母间的对话全都落入骇客手中,幸好骇客并未打算公布或出售资料,伟易达对于被骇浑然不知,直到媒体前来询问才知情,当时造成伟易达股价暴跌一度停牌,事后,伟易达关闭部分服务重整系统。
就在客户期待伟易达检讨资安漏洞后能提供更安全的服务时,伟易达却在 2015 年 12 月 24 日悄悄更改使用条款,要使用者“知道并同意任何在网站传送和接收的资料不一定安全,有可能遭截取,或让未经许可的人获取”,又表示伟易达不对第三方的入侵行为负责,还推称没有一家线上营运的企业能保证百分之百不被骇。虽然伟易达的发言内容的确是事实,没有一家企业敢保证绝对不被骇,但如此公开卸责,恐对重视资安与隐私的美国市场没有什么帮助。
不过,有资安疑虑的智慧连网玩具或儿童用品也不仅伟易达,美泰儿的哈啰芭比也遭安全专家指出软件有漏洞,若是骇客能骇入哈啰芭比使用的同一个家用 Wi-Fi 网络,将可能找出用户的地址,虽然这个漏洞用来攻击的用处不大,但也显示出这类产品的资安疑虑;美泰儿旗下另一款智慧连网玩具,可与儿童对话的费雪普莱斯智慧小熊(Fisher-Price smart bear),则于 2016 年 2 月初遭资安公司 Rapid7 揭发有漏洞可供入侵,骇客可取得儿童的姓名、生日、性别等等资料。
Rapid7 指出,不仅是儿童用品,其实整个物联网概念下的家庭产品几乎都有类似的资安问题,因为厂商研发时往往以使用性优于安全性考量,未来这些产品的资安问题,恐怕将成为产业界的重要议题。
- Playtime is over: Can smart toys ever be safe?
- Struggling LeapFrog bought by VTech for $72 million
- Fisher-Price smart bear allowed hacking of children’s biographical data
(首图来源:Cnet)
延伸阅读:
- 连线芭比娃娃发现漏洞,所幸已经修补
