昨儿个刷手机看见闺女班级群在推这个美国ZOOM动物农场,说是什么沉浸式儿童教育平台,我就手痒点进去试了试。结果您猜怎么着?整个测试过程我后脊梁骨直发凉。
一、下载安装就是个坑
我掏出台吃灰的iPad,在应用商店搜ZOOM动物农场。好家伙,一百多兆的安装包,底下评论清一色五星好评,文案跟复制粘贴似的。安装完点开图标,蹦出来的隐私协议密密麻麻全是英文,右下角“同意”按钮倒是特别显眼。我硬着头皮划拉两下直接点了同意——后来想想这步就埋雷了。
二、实探虚拟农场
登录后先跳出来个农场全景,长颈鹿在吃树叶,河马在水塘泡着,画面倒是挺卡通。我随手戳了下喂食图标,系统突然弹出话筒权限申请。刚点完“允许”,屏幕立马黑了三秒,再亮起来时摄像头居然自动打开了!我睡衣扣子没系好都给拍得清清楚楚。
- 麦克风全程监听:关掉摄像头后,麦克风图标始终亮着
- 强制互动:不点“摸小羊”按钮就不让进下个区域
- 弹窗轰炸:玩五分钟弹出三次付费提醒
三、儿童账号惊魂记
最坑爹的在后头。我用闺女的学号注册账号,刚完成人脸验证,突然收到陌生ZOOM视频邀请。接通后是个戴动物头套的人,用变声器喊:“小朋友来跟小熊猫跳舞呀!”吓得我当场掐断。查了半小时才发现在隐私设置里,默认开启“随机互动”功能,而关闭按钮藏在三级菜单最底下!
更邪门的是退出账号后,我用自己手机登录闺女账号,居然不需要二次验证!这意味着只要设备没丢,谁都能冒充孩子进平台。
四、安全漏洞实锤
我这暴脾气上来,直接开了网络检测软件。好嘛这软件运行时:
- 每隔20秒就往境外服务器传设备信息
- 相册权限被悄悄调用过三次
- 后台自动下载了78MB不明数据包
最要命的是,平台里所有“动物饲养员”都是真人扮演,但资质证明根本找不到,举报入口也形同虚设。
最终操作实录
我立刻做了三件事:
- 把闺女账号里的真实姓名改成“测试001”
- 在设置里关闭了所有麦克风摄像头权限
- 用胶带把iPad前置摄像头贴得严严实实
准备卸载前手抖点开班级群,发现班主任又发了条新通知:“请家长们带孩子完成ZOOM农场的亲子任务,下周要交体验报告。”
现在那破软件还在我iPad里躺着,像个定时炸弹。反正我们家闺女的体验报告,我打算直接写八千字安全风险分析交上去。