报告发现，日托监控应用程序“非常不安全”

这些细节来自电子前沿基金会（EFF）的一份新报告，该基金会于周二公布了一个长达数月的研究项目的结果。

EFF Certbot项目工程总监亚历克西斯·汉考克（AlexisHancock）进行了这项研究，发现Brightwheel、HiMama和Tadpols等流行应用程序缺乏双因素身份验证（2FA），这意味着任何能够获得用户密码的恶意参与者都可以远程登录。对应用程序代码的进一步分析揭示了许多其他侵犯隐私的功能，包括与Facebook和其他第三方共享数据，这些功能未在隐私政策中披露。

在与EFF联系后，Brightwheel实施了2FA，并声称是“早期教育行业中第一个添加这种额外安全层的人”据报道，HiMama表示将向其设计团队提交该功能请求，但尚未实施附加的安全功能。目前尚不清楚蝌蚪是否有意实施2FA。

汉考克在为两岁的女儿首次注册日托中心时，被要求下载Brightwheel，随后她开始研究各种日托应用程序的隐私和安全设置。汉考克说科技博客她最初喜欢使用该应用程序接收有关她女儿的更新，但考虑到信息的潜在敏感性，她开始担心缺乏安全性。

汉考克拥有软件开发的背景，能够使用一系列工具，如Apktool和mitmproxy来分析应用程序代码，并调查每个托儿应用程序正在进行的网络呼叫，她惊讶地发现了许多易于修复的错误。

汉考克说：“我在一些应用程序中发现了跟踪程序。我发现安全策略薄弱，密码策略薄弱。”。“我在浏览一些应用程序时发现了一些很容易修复的漏洞。实际上，这些漏洞很容易解决。”

EFF的新报告并不是第一次提请人们注意保护儿童安全的可信应用程序中的严重缺陷。多年来，研究人员一直对婴儿监视器应用程序和相关硬件的安全漏洞表示担忧，其中一些漏洞被黑客用来向儿童发送消息。更广泛地说，一项针对1000个可能被儿童使用的应用程序的调查发现，三分之二以上的人向广告业发送个人信息。

汉考克希望，对这些隐私和安全缺陷的报道能够更好地监管以儿童为中心的应用程序，但尽管如此，调查结果还是让她感到担忧。

她说：“作为一名家长，这让我感到更加担心我的孩子。”。“我不想让她在五岁之前发生数据泄露。我正在尽我所能确保不会发生这种情况。”