研究发现多数智能电视设备会发送隐私数据给Netflix

美国东北大学与英国伦敦帝国学院合作,对物联网设备进行了大规模的隐私研究,发现大部分的设备都会与非第一方组织连接,并发送诸如IP地址或是地理位置等隐私信息给第三方组织,甚至部分智能设备还会发送麦克风与摄影机录制的声音与图片数据。目前这个研究的实验、程序代码以及数据都在GitHub中公开。

消费物联网设备越来越普及,预计到了2020年,全球物联网设备的数量将达到200亿,这些设备提供数字助理和家庭安全等各种服务,研究人员提到,这些设备搭载多样的传感器,像是相机、麦克风或是动作侦测器,皆具备广泛收集数据的能力,而这些消息通常带有隐私数据,设备可能会在用户不知情的情况下录音,或是透露用户的收视节目的喜好。

而更严重的是,这些物联网设备大部分缺乏披露信息暴露的接口,因此外界无法直接了解其中的隐私威胁,为此,研究人员大规模的对这些设备进行透明度研究。不过,这件事并不容易,主要问题是,物联网设备生态系统通常很封闭,因此关于信息暴露的真实情况,可能无法精确地被披露,特别是部分设备的固件无法被修改,或是无法使用中间人技术破解设备的TLS加密流量,因此研究人员需要使用推论的方式猜测流量的内容物。

另外,要大规模的研究物联网设备信息暴露是很繁琐的工作,除了要手动设置大量的设备外,还要使用控制设备的回应,并捕捉设备产生的网络流量,研究人员提到,这些设备的实验不像是在行动或是网页环境,没有现存的仿真与自动化工具可以用作分析。

这个研究进行了目前已知最大规模的控制实验达34,586次,比较美国以及英国的81个设备,他们观察到大多数的设备都使用加密或是其他编码的方式,保护用户的个人可识别数据,因此整体来说,最大化降低明文暴露用户信息的可能性。

经他们实验发现,绝大部分的设备都会连接第三方组织,设备比例分别是美国的57.45%,而英国也有50.27%,另外,美国有56%的设备和英国有83.8%的设备,则会与跨区域的服务器创建连接。研究人员也提到,加密的流量并不会特别隐藏使得设备产生流量的交互类型,因此监听者可以轻易猜出用户的网络以及使用设备的方式。

同一个设备可能会同时连接到多个非第一方组织,像是三星的电视会连接Netflix以及托管Netflix服务的Amazon AWS,研究发现绝大多数的电视设备,都会于Netflix连接,即便电视没有设置Netflix账户。比较特别的案例是,小米的电锅会在VPN环境中连接金山软件,而平常仅会连接阿里巴巴云计算服务。

其他不寻常的行为,还有像是当用户在Ring门铃前面移动的时候,门铃会在未告知用户的情况下启动录像功能,而且用户必须要支付额外的费用才能访问这些视频,目前没有功能可以关闭。Zmodo门铃则会在首次启动设备,以及任何人在设备前移动时上传相机快照,这功能官方没有说明也无法关闭。

研究人员发现Alexa语音助理容易被用户正常对话唤醒,而且比其他语音助理更容易被触发,特别是以“我喜欢”作为开头的句子,研究人员提到,这或许是一个语音识别技术的限制,但这仍然存在潜在的隐私暴露问题,因为Amazon会将这个句子送往服务器分析,但这就代表着这些句子会被永久存储。