消费者物联网设备的信息暴露:一种多维的、网络知情的测量方法
论文干了什么:
在这项工作中,对美国和英国实验室中的81个设备进行了多维度的信息暴露分析:
•通过多个严格的自动化和手动控制实验,我们从互联网流量的目的地、通信内容是否受到加密保护、可以从这些内容推断出的物联网-设备交互、以及是否有意外泄露私人和/或敏感信息(例如,通过录音设备偷偷传送的视频)。
•使用测试平台的功能来分析网络流量的目的地,衡量哪些信息在互联网上暴露给其他方,评估设备交互可以如何基于网络流量进行预测。
•分析空闲流量,检测意外的设备活动。
•我们强调了这些结果之间的地区差异,这可能是由于美国和英国不同的隐私法规。
•最后,我们将我们的对照实验与由36名参与者组成的现场用户研究收集的数据进行了比较。
论文遇到的挑战:
有几个关键挑战限制了我们对物联网设备信息暴露及其隐私影响的理解。
•首先,物联网设备生态系统通常是封闭的,因此信息暴露的基本事实并不容易获得。特别是,对于我们实验中的绝大多数设备,修改设备固件(例如,进行污染跟踪)和/或使用中间人技术解密TLS连接(例如,识别以明文暴露的个人信息)是不可行的。在缺乏事实真相的情况下,我们必须制定分析信息暴露的策略;也就是说,我们专注于使用基于包含在(可能是加密的)网络流量中的信息的推论。
•其次,大规模描述物联网信息暴露的特征很麻烦:它需要手动设置大量设备,使用小心控制的交互,并捕捉它们产生的显著网络流量。在移动和网络环境中,现有的仿真和自动化工具促进了