即使连接的对象得到了适当的保护,它们仍然可能会将有关您的私人生活的信息泄露给不值得信任的第三方,即您的服务提供商。事实上,后者可以看到连接对象与供应商云服务器之间的所有交换。这些流量显然是经过加密的,但简单的网络分析就足以推断出大量信息。这是普林斯顿大学的三位研究人员刚刚证明的。
为了实现他们的学习他们在实验室安装了四台设备:睡眠传感器(Hello Sense)、监控摄像头(Nest Cam Indoor)、智能电源插座(Blekin WeMo Switch)和语音助手(Amazon Echo)。一旦有事情发生,这些设备就会联系云端的服务器。因此,接入提供商只需查看流量强度就可以推断出有关其订户活动的大量信息。
即使加密,我们的流量也会背叛我们
因此,睡眠传感器反馈的信息会指示人们何时上床睡觉和起床,甚至即使他们在夜间起床。监控摄像头可以让您看到何时有人经过镜头前,或者何时用户使用直播功能。基本上,提供商可以知道家里是否有人。交通还可以准确地看到用户何时激活电源插座并向语音助手询问问题。
这种类型的分析可以完全被动地完成,无需任何入侵或解密尝试。 ISP 需要做的就是收集 DNS 查询。它们从未加密,并允许它分离流并将它们分配给这个或那个设备。事实上,连接的对象总是使用或多或少相同的域。就是这样。“考虑到我们流量分析策略的普遍性以及大多数连接对象的专业化程度,如果许多其他智能家居设备受到此类私人数据泄露的影响,我们不会感到惊讶”,研究人员强调。
这种风险不应掉以轻心,因为接入提供商越来越有兴趣从其订户处收集尽可能多的个人数据,以促进其广告业务。去年三月,美国参议院通过了一项法律,授权接入提供商向第三方出售他们从用户那里收集的连接和流量数据,而后者对此没有任何发言权。在欧洲,我们还没有做到这一点,但我们的运营商或多或少有相同的想法。
保护自己免受个人数据泄露并不是那么简单。设置 VPN 可以隐藏某些元素,例如数据包的目的地。因此,流的分离更加困难。但对流量模式的简单分析仍然可以揭示敏感信息。因此,有必要有一个能够将连接对象的网络活动淹没在统一流中的过程。迄今为止,这种解决方案还不存在,但我们的三位研究人员坚定地决心开发它。
