編譯自Tech Crunch 作者Natasha Lomas
原文標題為:用這個開源的研究工具監視你的智能家居
普林斯頓大學的研究人員已經建立了一個網頁應用程序,讓你(和他們)可以監視你的智能家居設備有沒有偷打小報告。
可通過單擊 下載這款名為物聯網檢查器(IoT Inspector)的開源工具。(目前僅支持MacOS,Linux和Windows尚在等待支持列表中)
在關於這項研究工作的 中,研究人員寫道,他們的目的是為消費者提供一個簡單的工具來幫助他們的對家裡的物聯網設備網絡流量進行分析,其基本想法是幫助人們瞭解諸如智能音箱或連接WIFI的機器人吸塵器等設備是否正在與第三方共享數據。(並不知道這些聯網設備洩露了多少隱私)
在實驗室測試物聯網檢查工具時,研究人員表示,他們發現了一款Chromecast設備即使在沒有激活使用的情況下,它們也會不斷地與谷歌的服務器聯繫。
圖自Tech Crunch
研究人員還發現,Geeni的一個智能燈泡與一家由中國公司運營的物聯網設備控制雲平臺(tuyaus.com)不斷進行通信,收發流量。
當然你也可以通過設置一個無線熱點,使用Wireshark這樣的抓包工具來嗅探物聯網的流量的方式達到相同目的,但很多消費者並不具備這樣做的專業技術水平。
研究人員表示,他們的開發的這款網絡應用程序不需要任何特殊的硬件或複雜的設置,這聽起來比自己去嗅探你的設備要容易得多。(Gizmodo公司對類似工具進行了早期研究,將其描述為“非常易於安裝使用”)。
現在的不足之處在於,儘管這個Web應用程序是運行在Mac平臺,但是並不適用於Safari瀏覽器,需要Firefox或基於Chrome的瀏覽器才能工作。
需要注意的是,普林斯頓大學的團隊明確表示希望能利用收集到的數據來進行物聯網研究,因此,使用該工具的用戶將為智能家居設備的研究貢獻其數據。
他們所研究項目的目的是驗證消費者物聯網設備的隱私、安全性和性能風險。研究人員為來自普林斯頓大學計算機科學系的Nick Feamster教授和博士後研究員Danny Yuxing Huang。
普林斯頓大學的團隊表示,他們打算研究物聯網設備的隱私和安全風險以及網絡性能風險。但他們也指出,經過標準的研究倫理認可程序後,他們可能會與其他非普林斯頓研究人員共享完整的數據集。因此該工具的用戶將至少參與一個研究項目。(儘管該工具允許您刪除每個設備或每個帳戶收集的任何數據。)
研究人員寫道:“憑藉物聯網檢查器,我們成為了研究社區中第一個放出開源、且對每臺參與設備實際物聯網流量數據集進行匿名蒐集的團隊。”“我們希望邀請任何學術研究人員與我們合作-例如分析數據或改進數據收集-並提高我們對物聯網安全、隱私和其他相關領域(如網絡性能)的瞭解。”
他們編寫了大量的答疑來告知任何想要運行這個工具的人,每一個用戶在使用這樣一款明確被設計來監控自家網絡設備流量數據的工具之前都應該好好讀一讀這個使用須知。(TL;DR,其中就有提到特們通過使用ARP欺騙來攔截流量數據,而這種技術可能讓你的網速變慢,而且他們的軟件可能會出錯。)
流量分析器工具在收集的數據集時是匿名的,研究人員指出,他們沒有收集任何面向公眾的IP地址或位置。即便如此該項目仍然存在一些隱私風險:比如你有用實名來命名的智能家居設備。所以,在使用該工具之前請仔細閱讀用戶須知。
對於網絡上的每一個物聯網設備,該工具收集多個數據,並將它們發送回普林斯頓大學的服務器:包括DNS請求和響應;目標IP地址和端口;MAC地址;聚合流量統計;TLS客戶端握手;以及設備製造商。
該工具的設計初衷並不會跟蹤電腦、平板電腦和智能手機,因為這項研究將重點放在智能家居設備上。用戶還可以通過對指定MAC設備進行操作來手動排除對單個智能設備的跟蹤。
該工具最多支持同一網段下跟蹤50臺智能設備,如果想要追蹤超過50臺設備則需要聯繫該團隊獲取。
(Me.F)
閱讀更多 電腦報 的文章
