即使連接的物件得到了適當的保護,它們仍然可能會將有關您的私人生活的資訊洩露給不值得信任的第三方,即您的服務提供者。事實上,後者可以看到連接對象與供應商雲端伺服器之間的所有交換。這些流量顯然是經過加密的,但簡單的網路分析就足以推斷出大量資訊。這是普林斯頓大學的三位研究人員剛剛證明的。
為了實現他們的學習他們在實驗室安裝了四台設備:睡眠感測器(Hello Sense)、監視器(Nest Cam Indoor)、智慧電源插座(Blekin WeMo Switch)和語音助理(Amazon Echo)。一旦有事情發生,這些設備就會聯繫雲端的伺服器。因此,接入提供者只需查看流量強度即可推斷出有關其訂戶活動的大量資訊。
即使加密,我們的流量也會背叛我們
因此,睡眠感測器回饋的訊息會指示人們何時上床睡覺和起床,甚至即使他們在夜間起床。監視攝影機可以讓您看到何時有人經過鏡頭前,或何時使用者使用直播功能。基本上,提供者可以知道家裡是否有人。交通還可以準確地看到用戶何時啟動電源插座並向語音助理詢問問題。
這種類型的分析可以完全被動地完成,無需任何入侵或解密嘗試。 ISP 要做的就是收集 DNS 查詢。它們從未加密,並允許它分離流並將它們分配給這個或那個裝置。事實上,連接的物件總是使用或多或少相同的域。就是這樣。“考慮到我們流量分析策略的普遍性以及大多數連接對象的專業化程度,如果許多其他智慧家庭設備受到此類私人資料外洩的影響,我們不會感到驚訝”,研究人員強調。
這種風險不應掉以輕心,因為接取提供者越來越有興趣從其訂戶收集盡可能多的個人數據,以促進其廣告業務。去年三月,美國參議院通過了一項法律,授權接入提供者向第三方出售他們從用戶收集的連接和流量數據,而後者對此沒有任何發言權。在歐洲,我們還沒有做到這一點,但我們的運營商或多或少有相同的想法。
保護自己免受個人資料外洩並不是那麼簡單。設定 VPN 可以隱藏某些元素,例如封包的目的地。因此,流的分離更加困難。但對流量模式的簡單分析仍然可以揭示敏感資訊。因此,有必要有一個能夠將連接對象的網路活動淹沒在統一流中的過程。迄今為止,這種解決方案還不存在,但我們的三位研究人員堅定地決心開發它。
