每種設備各自都有獨特的流量特征智能家居IoT設備的每次上線都會暴露出自身意圖。

[[193188]]

Sense睡眠監測器

普林斯頓大學的科學家們認為，僅需對網絡流量略作分析，極不安全之物聯網便會吐出有關智能家庭的大堆敏感信息。

癥結在于：每種設備各自都有獨特的流量特征——恒溫器的表現與燈光控制器不同，車庫門開啟設備又是另一種表現，諸如此類。

科學家們對Sense睡眠監測器、Nest Cam 室內安全攝像頭、WeMo交換機和亞馬遜Echo進行了測試，發現即便通信流量被加密，這些設備的流量指紋也是可識別的。

因為會產生可識別的流量模式，每種被測試設備都在向外泄露信息：Sense揭露了用戶的睡眠模式;Nest Cam 向攻擊者透露出監控時段或動感觸發模式;WeMo揭示設備啟動或關閉狀態;Echo泄露對話時間。

攻擊者需要找到捕獲流量的途徑。普林斯頓大學研究人員假設攻擊者是從網絡服務供應商(ISP)處嗅探到流量，但這肯定不是唯一途徑。

只要能獲得流量，識別設備的方法千千萬。比如說，Sense和 Nest Cam 連接不同的服務IP地址和端口，而且即便某設備與多個服務交互，黑客通常只需識別出一種標識設備狀態的流量即可。

IoT通聯表

盡管可以從一般流量中推斷出某些用戶活動，例如機器會在全家都睡覺時進入休眠狀態，但這種推斷基于很多假設。比如，用戶一上床就停止使用其他設備，全家每個人都同時上床睡覺且不共享其他設備，用戶不在睡眠時讓其他設備進行網絡密集任務或更新。

流量特別容易被標繪特征的情況下，加密也無濟于事

Sense睡眠監測器更具揭示功能，因為這是個單一用途的設備。研究人員測試的其他設備同樣如此。

在論文中，研究人員呼吁強化用戶隱私保護意識，并推出可供用戶管理隱私的工具。同時升級版的監管似乎也是必要的。

研究人員的論文中并未要求制造商停止非必要的數據收集行為，但這一點似乎才是重中之重。