Information Exposure From Consumer IoT Devices:A Multidimensional, Network-Informed Measurement论文笔记

消费者物联网设备的信息暴露:一种多维的、网络知情的测量方法

摘要

物联网设备越来越多地出现，有利也有弊。在方便了使用的同时，也存在着信息泄漏的风险。但由于设备的用户界面、协议和功能都是异构的，因此很难深入和大规模地理解这些风险。

在这项工作中，对美国和英国实验室中的81个设备进行了多维度的信息暴露分析。最后，将对照实验与由36名参与者组成的现场用户研究收集的数据进行了比较。

1 介绍

消费者物联网设备越来越受欢迎，可以提供很多服务。通过结合丰富的传感器(如摄像头、麦克风、动作传感器)和互联网连接，这些设备有潜力了解和暴露用户及其周围环境的广泛信息。由于大多数此类设备缺乏任何显示信息暴露的界面，因此迫切需要进行研究，为此类大规模暴露提供透明度，并确定不同司法管辖区的相关隐私影响。

有几个关键挑战限制了我们对物联网设备信息暴露及其隐私影响的理解。首先，物联网设备生态系统通常是封闭的，因此信息暴露的基本事实并不容易获得。在缺乏事实真相的情况下，我们必须制定分析信息暴露的策略。也就是说，我们专注于使用基于包含在(可能是加密的)网络流量中的信息的推论。其次，大规模描述物联网信息暴露的特征很麻烦，它需要手动设置大量设备，使用小心控制的交互，并捕捉它们产生的显著网络流量，也需要新的技术来自动化物联网设备实验，收集数据并进行分析。第三，之前的所有研究都集中于一个管辖区的研究团队基于与物联网设备交互的信息暴露。有必要了解相同的设备在具有不同隐私法的司法管辖区以及被大量用户使用时的行为。 

主要研究贡献包括:

•分析我们认为是迄今为止最大的流行消费者物联网设备集合。

•半自动化控制实验，可进行大规模的设备分析，加上6个月的非受控实验，作为irb批准的研究的一部分。

•苹果与苹果首次在不同的隐私法律管辖范围内对设备行为进行比较。

•使用上述测试平台的功能来分析网络流量的目的地，衡量哪些信息在互联网上暴露给其他方，评估设备交互可以如何基于网络流量进行预测。

•分析空闲流量，检测意外的设备活动。

2 定义和目标

这项工作测量来自流行的消费者物联网设备的网络活动和相应的信息暴露。特别是我们将重点关注其IP流量目的地的特征、此类流量是否通过加密进行保护，以及这种公开的潜在隐私影响是什么。

2.1定义

物联网设备暴露的信息。为了本研究的目的，我们定义了物联网设备可以暴露的三类信息。

•存储数据。包括设备标识符和用户在设备激活期间给出的个人身份信息、活动日志、设备状态等

•传感器数据。这包括物联网设备的传感器获得的信息，如运动检测、视频监控视频、音频记录。

•活动数据。这包括关于用户如何与设备交互的信息(例如，通过移动设备上的应用程序或物联网设备上的按钮)，以及设备的哪些功能被使用(例如，切换灯)。

我们专注于使用受控实验和网络流量分析检测基线信息暴露。

信息被暴露的当事人。当信息由物联网设备公开时，它会显式地与其IP流量的目的地共享，并隐式地与被动地观察其网络流量的任何一方共享。我们首先根据物联网设备所联系的IP地址的所有者定义第一、支持和第三方。

•第一方。负责实现设备功能的物联网设备制造商或相关公司。

•支持方。任何提供外包计算资源的公司，如CDN和云提供商。

•第三方。不是第一方或支持方的任一方。这包括广告和分析公司。

除了IP流量的目的之外，我们还考虑网络窃听者，他们可以被动地观察物联网设备(如设备的互联网服务提供商(ISP))暴露的信息。

隐私问题。“非第一方”指任何支持方或任何第三方。为了解信息暴露是否涉及隐私问题，我们考虑:

•网络流量中包含的、暴露给非第一方的任何个人身份信息(PII);

•向非第一方暴露的任何用户录音(音频/视频/图像)或用户活动(动作传感器、看电视习惯)，或以普通用户既没有披露也没有预料到的方式暴露给第一方;

•允许非第一方观察家中设备的任何网络流量收集，它们何时被使用，以及如何被使用(例如，用于分析用户)。

2.2目标

在本节中，我们定义了关于不同信息暴露的关键研究问题。

RQ1:网络流量的目的地是什么?

与第三方的沟通可能是一个隐私问题，因为这些第三方可以跟踪用户的信息，可能是为了将数据货币化(例如，通过广告)。此外，为多个物联网设备(包括来自不同制造商的设备)提供服务的支持方可以获得家庭活动的详细可见性。最后，跨越国际边界的数据可能受到不同的隐私法律的约束，包括合法的拦截法规。

RQ2:流量被加密到什么程度?

使用加密可以防止敏感信息暴露给窃听者，而缺乏加密可能会暴露设备的身份、与设备的交互以及其他敏感信息。

RQ3:哪些数据以明文形式发送?

当明文网络流量包含敏感数据时，我们将其视为隐私问题。

RQ4:哪些内容使用加密发送?

虽然传统上认为加密可以提供机密性，但加密本身并不能防止敏感信息的泄露。例如，敏感数据可能通过加密暴露给第三方，或者窃听者可能根据加密的流量模式和明文协议信息(例如，TCP/IP报头、TLS握手)可靠地推断设备类型和活动。

RQ5:设备是否意外暴露信息?

有些报道表明，智能音箱偷偷地、连续地录制音频，并将其传输给他们的提供商。更一般地说，我们关注敏感信息(例如，用户录音)，用户希望仅通过显式交互暴露这些信息。当它暴露给任何一方(即使是第一方)时，这就成为了一个隐私问题，因为用户并没有故意触发这种暴露。

RQ6:设备的位置(管辖权，网络出口的位置)是否影响信息暴露?

物联网设备可能被允许暴露或多或少的信息，这取决于地区法规(如欧盟的GDPR)。位于或其网络流量出口的相同设备的暴露差异可能表明对当地法律的适应情况不同。

2.3非目标

修改的设备。我们在实验中只使用未经改造的装置。修改设备或其固件可能会揭示有关信息暴露的基本事实，但这样做无法扩展到大量的设备。

不使用MITM。我们不使用中间人(MITM) TLS连接来显示加密流量的明文内容。由于MITM通过改变设备行为影响了我们结果的有效性，我们选择在本研究中不这么做。

没有配套的应用流量。我们在实验室中捕获所有网络流量，包括用于与物联网设备交互的配套应用程序的流量。然而，由于我们发现，除了使用之前的技术发现的信息外，几乎没有额外的信息暴露，因此我们只关注由物联网设备产生的流量。

不完备。在我们的测试中，我们无法从物联网设备中识别所有暴露的信息。此外，我们无法量化我们所测量的信息暴露的隐私风险。相反，我们关注的是暴露的信息、潜在的隐私影响，以及意外暴露敏感数据的案例研究。

3数据收集方法

3.1物联网设备

我们的分析包括81台具有IP连接的物联网设备:46台购买自美国商店(美国设备)并部署在美国试验台，35台购买自英国商店(英国设备)并部署在英国试验台。这两个实验室共有26种通用设备。设备分为以下几类:摄像头(安全摄像头和视频门铃)、智能hub(作为非ip物联网设备桥梁的家庭自动化设备，如Zigbee、Z-wave和Insteon设备)、家庭自动化设备(智能灯、插座和恒温器)、电视(实际电视和电视狗)、音频(带语音助手的智能