本文講的是 物聯網還是洩秘網?嗅探流量即可知使用者動向,每種裝置各自都有獨特的流量特征智能家居IoT裝置的每次上線都會暴露出自身意圖
普林斯頓大學的科學家們認為,僅需對網絡流量略作分析,極不安全之物聯網便會吐出有關智能家庭的大堆敏感資訊。
症結在于:每種裝置各自都有獨特的流量特征——恒溫器的表現與燈光控制器不同,車庫門開啟裝置又是另一種表現,諸如此類。
科學家們對Sense睡眠監測器、Nest Cam 室内安全攝像頭、WeMo交換機和亞馬遜Echo進行了測試,發現即便通信流量被加密,這些裝置的流量指紋也是可識别的。
因為會産生可識别的流量模式,每種被測試裝置都在向外洩露資訊:Sense揭露了使用者的睡眠模式;Nest Cam 向攻擊者透露出監控時段或動感觸發模式;WeMo揭示裝置啟動或關閉狀态;Echo洩露對話時間。
攻擊者需要找到捕獲流量的途徑。普林斯頓大學研究人員假設攻擊者是從網絡服務供應商(ISP)處嗅探到流量,但這肯定不是唯一途徑。
隻要能獲得流量,識别裝置的方法千千萬。比如說,Sense和 Nest Cam 連接配接不同的服務IP位址和端口,而且即便某裝置與多個服務互動,黑客通常隻需識别出一種辨別裝置狀态的流量即可。
IoT通聯表
盡管可以從一般流量中推斷出某些使用者活動,例如機器會在全家都睡覺時進入休眠狀态,但這種推斷基于很多假設。比如,使用者一上床就停止使用其他裝置,全家每個人都同時上床睡覺且不共享其他裝置,使用者不在睡眠時讓其他裝置進行網絡密集任務或更新。
Sense睡眠監測器更具揭示功能,因為這是個單一用途的裝置。研究人員測試的其他裝置同樣如此。
在論文中,研究人員呼籲強化使用者隐私保護意識,并推出可供使用者管理隐私的工具。同時更新版的監管似乎也是必要的。
研究人員的論文中并未要求制造商停止非必要的資料收集行為,但這一點似乎才是重中之重。
原文釋出時間為:六月 5, 2017
本文作者:nana
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛。