理論上,當你在 YouTube 上觀看影片時,沒有人能分辨出它是什麼內容。與該網站的所有交換均使用 TLS 加密。即使請求的 URL 也是不可見的。所以您完全不會受到可能的窺探者的侵害,例如您的 ISP 或警察,對吧?
偽造的 !值此安全保衛大會召開之際2016 年歐洲黑帽大會,安全研究員 Ran Dubin 表明,你不需要解密一個人的 YouTube feed 就可以知道他們正在觀看什麼影片。您只需要分析您的流量並擁有良好的機器學習演算法。
透過觀察 YouTube 和 Chrome 瀏覽器之間的流量,Ran Dubin 和他的同事注意到,無論使用什麼網路和要求的影片品質如何,流量的某些特徵或多或少保持相同。對於「每峰值位元」(BPP) 來說尤其如此,它表示每個資料傳輸峰值達到的吞吐量。當您下載影片時,您可以觀察到一整套峰,其整體外觀不會發生顯著變化。“通過多次下載同一視頻,BPP 使我們能夠快速獲得該內容的指紋,然後我們可以將其與其他人的下載進行比較”」冉杜賓解釋。
為了證明這一點,Ran Dubin 和他的同事為自己配備了機器學習演算法(在本例中為“最近鄰居”)和資料集:三十個視頻,每個視頻下載了一百次。經過一段時間的監督學習,結果很明顯:每個新下載被識別的機率為 98%。所以幾乎可以肯定。“HTTPS 連接無法保護您的消費習慣”Ran Dubin 總結道,他指出可以使用任何其他瀏覽器毫無問題地複製此搜尋。簡而言之,如果您不想讓任何人知道您在 YouTube 上觀看的內容,請到家以外的地方觀看影片。
