普林斯頓大學(xué)和波士頓東北大學(xué)的兩篇論文研究引起外媒廣泛關(guān)注，這兩篇論文都把研究方向?qū)?zhǔn)了現(xiàn)代智能家居隱私泄漏問題。

最近幾天，來自普林斯頓大學(xué)和波士頓東北大學(xué)的兩篇論文引起外媒廣泛關(guān)注，這兩篇論文都把研究方向?qū)?zhǔn)了現(xiàn)代智能家居隱私泄漏問題，經(jīng)過嚴(yán)密的實(shí)驗(yàn)后，得出負(fù)面結(jié)果讓人瞠目結(jié)舌，在物聯(lián)網(wǎng)、智能家居快速發(fā)展的今天，我們似乎也在快速丟失著自己的個(gè)人隱私。

論文說了什么？

首先介紹一下OTT（Over The Top）的概念，是指通過互聯(lián)網(wǎng)向用戶提供各種應(yīng)用服務(wù)。設(shè)備提供了一種替代多頻道電視訂閱服務(wù)的選擇，并通過廣告來賺錢。

據(jù)去年年底，酷鵝用戶研究院聯(lián)合當(dāng)貝市場、騰訊視頻極光TV發(fā)布的《智能電視用戶洞察報(bào)告》顯示，有線電視繳費(fèi)戶數(shù)呈現(xiàn)明顯下降趨勢，智能電視的激活數(shù)則快速增加，預(yù)測將在2019年完成對傳統(tǒng)電視用戶數(shù)的超越（如下圖）。

數(shù)量的暴增下，也帶來了隱患。在一份普林斯頓大學(xué)的論文中，其研究小組開發(fā)了一套“爬蟲”系統(tǒng)，可自動(dòng)下載OTT應(yīng)用程序（APP），并在攔截網(wǎng)絡(luò)流量和TLS（安全傳輸層協(xié)議）攔截時(shí)與它們進(jìn)行交互。該智能爬蟲訪問了兩個(gè)主流的OTT平臺(tái)（Roku和Amazon Fire TV）上的2000個(gè)頻道。

結(jié)果表明，兩個(gè)OTT平臺(tái)上都普遍存在跟蹤情況，其中69％的Roku頻道和89％的Amazon Fire TV頻道中都存在已知跟蹤器的流量。此外，該研究小組還發(fā)現(xiàn)，在未加密的連接上收集和傳輸唯一標(biāo)識(shí)符(如設(shè)備ID、序列號(hào)、WiFi MAC地址和SSID)的行為。最后得出結(jié)論：在這些設(shè)備上使用例如限制廣告跟蹤選項(xiàng)、廣告屏蔽等措施，實(shí)際上是無效的。

普林斯頓大學(xué)計(jì)算機(jī)科學(xué)的副教授 Arvind Narayanan 向 The Verge 表示：“如果你會(huì)用 Roku 和 Amazon Fire TV 這樣的設(shè)備看電視，那大公司會(huì)用你觀看的內(nèi)容建立一個(gè)全面的畫像。他們的做法幾乎沒被監(jiān)督或關(guān)注，你也不知道那些數(shù)據(jù)是在哪里出售的。”

該外媒還表示，數(shù)據(jù)是電視價(jià)格如此便宜的原因，從技術(shù)上將，人們同意了在初期設(shè)置設(shè)備時(shí)出售個(gè)人數(shù)據(jù)，但許多人甚至不知道這已經(jīng)發(fā)生。

另一份來自波士頓東北大學(xué)的論文中，研究小組也進(jìn)行了類似的研究。對81個(gè)具有IP連接的物聯(lián)網(wǎng)設(shè)備進(jìn)行了分析研究，其中46個(gè)購買自美國商店并部署在美國測試平臺(tái)上，35個(gè)購買自英國商店并部署在英國測試平臺(tái)。

圖：美國IoT實(shí)驗(yàn)室（波士頓東北大學(xué)）

所選設(shè)備的類型如下圖：攝像頭類(安全攝像頭和視頻門鈴)、智能網(wǎng)關(guān)、家庭自動(dòng)化(智能燈光、路由器和恒溫器)、電視(智能電視和電視狗)、音頻(智能語音助理)、家用電器(冰箱、清潔電器、烹飪用具、氣象站)。

最終得出結(jié)論：大多數(shù)設(shè)備使用加密或其他編碼來保護(hù)用戶的PII（個(gè)人身份信息），從而使明文的PII暴露程度降到最小。然而，即使流量加密和不依賴MITM（Man-in-the-Middle Attack，中間人攻擊）或任何類型的物聯(lián)網(wǎng)設(shè)備修改，也有明顯的暴露信息的情況，有57.45%（50.27%）的被測設(shè)備會(huì)聯(lián)系美國（英國）地區(qū)的第三方平臺(tái)。56%的美國設(shè)備和83.8%的英國設(shè)備會(huì)聯(lián)系設(shè)備以外的地區(qū)。

此外，在許多情況下，設(shè)備會(huì)允許一個(gè)偷聽者來測試消費(fèi)者網(wǎng)絡(luò)并“偷用”設(shè)備。更意外的是，結(jié)果發(fā)現(xiàn)在用戶沒有使用設(shè)備的情況下，亞馬遜的門鈴、Alexa 及 Zmodo 的門鈴等不同等智能家居設(shè)備仍然會(huì)監(jiān)控用戶何時(shí)說話或移動(dòng)。

這兩份最新研究論文給出了大部分智能家居設(shè)備并不安全的結(jié)論。

一直沒隱私？

如果你長期關(guān)注這類新聞，其實(shí)這也并不稀奇。

早在2017年，樂視旗下Vizio因違規(guī)收集數(shù)據(jù)被聯(lián)邦貿(mào)易委員會(huì)(FTC) 處罰220萬美元，起訴中，它被指控利用其電視追蹤用戶的觀看紀(jì)錄，并將這個(gè)信息賣給市場公司，而這都沒有征得客戶的同意。

去年更有一件夸張案例，波特蘭市的一名女子向電視臺(tái)爆料：放在她家里的Echo音箱不僅未經(jīng)許可就記錄了她和自己丈夫在家中的對話，還將這段對話發(fā)給了她老公手下的一名員工。在這名收到了錄音一頭霧水的員工聯(lián)系了當(dāng)事人之后，她才知道自己在不知不覺中被錄音了。

隨后，亞馬遜發(fā)布了調(diào)查報(bào)告，還原了對這次事件的整個(gè)過程：

“Echo音箱首先在嘈雜的背景聲音中捕捉到了類似“Alexa”的語音，于是被喚醒。隨后，Alexa將背景聲音里隨后的對話理解成了“發(fā)送消息”的指令，并且發(fā)出了“發(fā)送誰？”的詢問。之后，Alexa又一次將聽到的環(huán)境對話誤解成了用戶聯(lián)系人列表中的某人。在Alexa再次詢問“是發(fā)給某某對嗎？”之后，發(fā)生了最后一次誤解，這次Alexa將環(huán)境對話理解成了“對的”，用戶的錄音就這樣被當(dāng)作消息發(fā)了出去?！?

而Alexa的銷量增勢卻沒有因?yàn)殡[私問題而停止，今年一月份，據(jù)TechCrunch報(bào)道，亞馬遜設(shè)備部門高級副總裁戴夫·利普在接受采訪時(shí)透露，迄今已經(jīng)售出1億多部預(yù)裝其智能助手Alexa的設(shè)備。這1億設(shè)備不僅還有更多增長空間，似乎也讓不好的事情在蔓延。

此后沒幾個(gè)月，彭博社就援引知情人士透露，亞馬遜的一個(gè)負(fù)責(zé)評估Alexa用戶指令的團(tuán)隊(duì)獲取了用戶定位數(shù)據(jù)，某些情況下還可以找到用戶家庭住址。

該文中，在喬治敦法學(xué)院兼任教員的律師林賽·巴里特（Lindsey Barrett）表示，地理定位數(shù)據(jù)比其他很多用戶信息都更為敏感，因?yàn)槠渌畔⒏与y以追蹤到真實(shí)的人。

據(jù)《衛(wèi)報(bào)》8月28日報(bào)道，在蘋果的Siri服務(wù)人工審聽評分項(xiàng)目暫停后，蘋果在愛爾蘭科克的公司至少300名合同工被解雇。理由是：由于“技術(shù)錯(cuò)誤”，沒有工作給他們做了。7月，媒體曝光蘋果私自竊聽Siri與用戶的錄音。

隨后蘋果選擇了道歉，該計(jì)劃允許承包商審查人們與其Siri語音助手談話的一小部分內(nèi)容。該公司表示，它將進(jìn)行一些改進(jìn)，使用戶能夠更好地控制Siri請求的處理方式。

來源：《2019中國智能家居發(fā)展白皮書》

《2019中國智能家居發(fā)展白皮書》顯示，全球智能家居市場規(guī)模將在2022年達(dá)到1220一美元，2016-2022年年均增長率預(yù)測為14%。一場淘金運(yùn)動(dòng)下，我們的個(gè)人隱私也成了市場中的交易品，且渾然不知。