圖片來源: 

美國東北大學物聯網實驗室

美國東北大學與英國倫敦帝國學院合作,對物聯網裝置進行了大規模的隱私研究,發現大部分的裝置都會與非第一方組織連接,並傳送諸如IP位址或是地理位置等隱私資訊給第三方組織,甚至部分智慧裝置還會傳送麥克風與攝影機錄製的聲音與影像資料。目前這個研究的實驗、程式碼以及資料都在GitHub中公開。

消費物聯網裝置越來越普及,預計到了2020年,全球物聯網裝置的數量將達到200億,這些裝置提供數位助理和家庭安全等各種服務,研究人員提到,這些裝置搭載多樣的感測器,像是相機、麥克風或是動作偵測器,皆具備廣泛收集資料的能力,而這些訊息通常帶有隱私資料,裝置可能會在使用者不知情的情況下錄音,或是透露用戶的收視節目的喜好。

而更嚴重的是,這些物聯網裝置大部分缺乏揭露資訊暴露的介面,因此外界無法直接了解其中的隱私威脅,為此,研究人員大規模的對這些裝置進行透明度研究。不過,這件事並不容易,主要問題是,物聯網裝置生態系通常很封閉,因此關於資訊暴露的真實情況,可能無法精確地被揭露,特別是部分裝置的韌體無法被修改,或是無法使用中間人技術破解裝置的TLS加密流量,因此研究人員需要使用推論的方式猜測流量的內容物。

另外,要大規模的研究物聯網裝置資訊暴露是很繁瑣的工作,除了要手動設置大量的裝置外,還要使用控制裝置的回應,並捕捉裝置產生的網路流量,研究人員提到,這些裝置的實驗不像是在行動或是網頁環境,沒有現存的模擬與自動化工具可以用作分析。

這個研究進行了目前已知最大規模的控制實驗達34,586次,比較美國以及英國的81個裝置,他們觀察到大多數的裝置都使用加密或是其他編碼的方式,保護用戶的個人可辨識資料,因此整體來說,最大化降低明文暴露使用者資訊的可能性。

經他們實驗發現,絕大部分的裝置都會連接第三方組織,裝置比例分別是美國的57.45%,而英國也有50.27%,另外,美國有56%的裝置和英國有83.8%的裝置,則會與跨區域的伺服器建立連線。研究人員也提到,加密的流量並不會特別隱藏使得裝置產生流量的互動類型,因此監聽者可以輕易猜出使用者的網路以及使用裝置的方式。

同一個裝置可能會同時連接到多個非第一方組織,像是三星的電視會連結Netflix以及託管Netflix服務的Amazon AWS,研究發現絕大多數的電視裝置,都會於Netflix連線,即便電視沒有設定Netflix帳戶。比較特別的案例是,小米的電鍋會在VPN環境中連接金山軟體,而平常僅會連接阿里巴巴雲端服務。

其他不尋常的行為,還有像是當用戶在Ring門鈴前面移動的時候,門鈴會在未告知使用者的情況下啟動錄影功能,而且使用者必須要支付額外的費用才能存取這些影片,目前沒有功能可以關閉。Zmodo門鈴則會在首次啟動設備,以及任何人在裝置前移動時上傳相機快照,這功能官方沒有說明也無法關閉。

研究人員發現Alexa語音助理容易被用戶正常對話喚醒,而且比其他語音助理更容易被觸發,特別是以「我喜歡」作為開頭的句子,研究人員提到,這或許是一個語音辨識技術的限制,但這仍然存在潛在的隱私暴露問題,因為Amazon會將這個句子送往伺服器分析,但這就代表著這些句子會被永久儲存。

熱門新聞

Advertisement