我们的家庭每天都变得更加智能。下次您购买烤面包机、冰箱或洗碗机时,设置可能需要连接到家庭WiFi网络并在手机上下载应用程序。
但东北大学计算机科学副教授戴维·乔夫尼斯(DavidChoffnes)表示,这种互连性伴随着风险。
乔夫尼斯说:“我们正在从以前认为家的墙壁是我们的私人空间的想法转变为现在墙壁内的空间拥有所有通过互联网进行通信的设备。”
理想情况下,智能家居设备(也称为物联网(IoT)设备)可以让人们的生活变得更加轻松。设置恒温器、制作早晨咖啡或为打印机订购新墨水等任务可以轻松实现自动化,或者使用其中一些产品通过智能手机完成。
“(但是)当这些东西相互通信或通过互联网进行通信时,它们会以我们看不到的方式进行通信,”乔夫尼斯说。
Choffnes说,其中一些设备正在共享其位置,这反过来又允许本地网络中的其他设备找到它们。在这种情况下,本地网络是指特定位置(例如房屋)内的一组连接设备。
“他们还会发送家庭特有的其他信息,这意味着即使你尽力保护自己的隐私,关闭手机上的跟踪功能,无论是iOS还是Android,所有这些机制都需要你为保护自己而采取的措施可能会崩溃,”乔夫尼斯说。
“在线追踪器可以通过你家中的设备集合来判断你是谁,因为这对你来说是独一无二的,”他补充道。
乔夫尼斯和其他团队的新研究揭示了这一新兴技术类别的隐私和安全缺陷。该团队将于本周在蒙特利尔举行的ACM互联网测量会议上展示其研究成果。
在这项研究中,该团队测试了93个物联网设备,看看它们如何在本地网络中交互。
乔夫尼斯解释说,这项研究的结果很有启发性。
“我们观察到的一件事是,设备将扫描其本地网络,以找出您家中的所有其他设备,”Choffnes补充道。“例如,你的亚马逊智能扬声器可以了解你是否有智能冰箱。它可以了解你的打印机。它可能会了解你的名字,因为如果你有,例如,AppleHomePod,通常该东西的默认名称是你的名称,例如“Dave'sHomePod”。
该团队还发现与这些设备连接的移动应用程序的工作方式存在安全问题。
“在Android上,移动应用程序可以绕过Android施加的权限限制,例如访问地理位置或访问唯一标识符,只需查询设备或向家庭网络上的其他设备发送消息并让它们告诉应用程序相同的信息即可。操作系统正在远离他们,”他说。
Choffnes指出,谷歌已经承认了该团队的发现,并正在与他们合作制定缓解措施,“可以通过Android操作系统、应用程序审查流程和一般物联网标准化工作来实施”。
乔夫尼斯强调,这些系统不必以这种方式运行。设备可以在没有如此大的隐私和安全风险的情况下进行互操作。
“有一种方法可以让他们在不泄露可用于追踪我们的信息的情况下发现对方,”乔夫尼斯说。
在研究中,该团队提出了许多潜在的解决方案,包括呼吁这些设备之间实现更多标准化。他们以Matter智能家居协议为例,尽管他们指出该系统尚未解决团队发现的特定漏洞。
东北大学的博士生TinanruHu和东北大学的副研究科学家DanielJ.Dubois是该研究的作者之一。
胡说,公司并没有很大的动力去标准化。该研究的目标之一是帮助公众了解这些问题。
“通过我们的研究,我们希望让用户意识到这个问题,”他说。“当更多用户了解这个问题时,他们可以激励公司做出最好的隐私和安全标准化工作。”
该团队指出,法规和更多政府参与也可能有助于减少其中一些问题,并指出《欧盟网络弹性法案》和《美国国家网络安全战略》。