普林斯顿大学的科学家们认为,仅需对网络流量略作分析,极不安全之物联网便会吐出有关智能家庭的大堆敏感信息。 症结在于:每种设备各自都有独特的流量特征——恒温器的表现与灯光控制器不同,车库门开启设备又是另一种表现,诸如此类。 科学家们对Sense睡眠监测器、Nest Cam 室内安全摄像头、WeMo交换机和亚马逊Echo进行了测试,发现即便通信流量被加密,这些设备的流量指纹也是可识别的。 因为会产生可识别的流量模式,每种被测试设备都在向外泄露信息:Sense揭露了用户的睡眠模式;Nest Cam 向攻击者透露出监控时段或动感触发模式;WeMo揭示设备启动或关闭状态;Echo泄露对话时间。 攻击者需要找到捕获流量的途径。普林斯顿大学研究人员假设攻击者是从网络服务供应商(ISP)处嗅探到流量,但这肯定不是唯一途径。 只要能获得流量,识别设备的方法千千万。比如说,Sense和 Nest Cam 连接不同的服务IP地址和端口,而且即便某设备与多个服务交互,黑客通常只需识别出一种标识设备状态的流量即可。 IoT通联表
尽管可以从一般流量中推断出某些用户活动,例如机器会在全家都睡觉时进入休眠状态,但这种推断基于很多假设。比如,用户一上床就停止使用其他设备,全家每个人都同时上床睡觉且不共享其他设备,用户不在睡眠时让其他设备进行网络密集任务或更新。
流量特别容易被标绘特征的情况下,加密也无济于事 Sense睡眠监测器更具揭示功能,因为这是个单一用途的设备。研究人员测试的其他设备同样如此。 在论文中,研究人员呼吁强化用户隐私保护意识,并推出可供用户管理隐私的工具。同时升级版的监管似乎也是必要的。 研究人员的论文中并未要求制造商停止非必要的数据收集行为,但这一点似乎才是重中之重。 |