编译自Tech Crunch 作者Natasha Lomas
原文标题为:用这个开源的研究工具监视你的智能家居
普林斯顿大学的研究人员已经建立了一个网页应用程序,让你(和他们)可以监视你的智能家居设备有没有偷打小报告。
可通过单击 下载这款名为物联网检查器(IoT Inspector)的开源工具。(目前仅支持MacOS,Linux和Windows尚在等待支持列表中)
在关于这项研究工作的 中,研究人员写道,他们的目的是为消费者提供一个简单的工具来帮助他们的对家里的物联网设备网络流量进行分析,其基本想法是帮助人们了解诸如智能音箱或连接WIFI的机器人吸尘器等设备是否正在与第三方共享数据。(并不知道这些联网设备泄露了多少隐私)
在实验室测试物联网检查工具时,研究人员表示,他们发现了一款Chromecast设备即使在没有激活使用的情况下,它们也会不断地与谷歌的服务器联系。
图自Tech Crunch
研究人员还发现,Geeni的一个智能灯泡与一家由中国公司运营的物联网设备控制云平台(tuyaus.com)不断进行通信,收发流量。
当然你也可以通过设置一个无线热点,使用Wireshark这样的抓包工具来嗅探物联网的流量的方式达到相同目的,但很多消费者并不具备这样做的专业技术水平。
研究人员表示,他们的开发的这款网络应用程序不需要任何特殊的硬件或复杂的设置,这听起来比自己去嗅探你的设备要容易得多。(Gizmodo公司对类似工具进行了早期研究,将其描述为“非常易于安装使用”)。
现在的不足之处在于,尽管这个Web应用程序是运行在Mac平台,但是并不适用于Safari浏览器,需要Firefox或基于Chrome的浏览器才能工作。
需要注意的是,普林斯顿大学的团队明确表示希望能利用收集到的数据来进行物联网研究,因此,使用该工具的用户将为智能家居设备的研究贡献其数据。
他们所研究项目的目的是验证消费者物联网设备的隐私、安全性和性能风险。研究人员为来自普林斯顿大学计算机科学系的Nick Feamster教授和博士后研究员Danny Yuxing Huang。
普林斯顿大学的团队表示,他们打算研究物联网设备的隐私和安全风险以及网络性能风险。但他们也指出,经过标准的研究伦理认可程序后,他们可能会与其他非普林斯顿研究人员共享完整的数据集。因此该工具的用户将至少参与一个研究项目。(尽管该工具允许您删除每个设备或每个帐户收集的任何数据。)
研究人员写道:“凭借物联网检查器,我们成为了研究社区中第一个放出开源、且对每台参与设备实际物联网流量数据集进行匿名搜集的团队。”“我们希望邀请任何学术研究人员与我们合作-例如分析数据或改进数据收集-并提高我们对物联网安全、隐私和其他相关领域(如网络性能)的了解。”
他们编写了大量的答疑来告知任何想要运行这个工具的人,每一个用户在使用这样一款明确被设计来监控自家网络设备流量数据的工具之前都应该好好读一读这个使用须知。(TL;DR,其中就有提到特们通过使用ARP欺骗来拦截流量数据,而这种技术可能让你的网速变慢,而且他们的软件可能会出错。)
流量分析器工具在收集的数据集时是匿名的,研究人员指出,他们没有收集任何面向公众的IP地址或位置。即便如此该项目仍然存在一些隐私风险:比如你有用实名来命名的智能家居设备。所以,在使用该工具之前请仔细阅读用户须知。
对于网络上的每一个物联网设备,该工具收集多个数据,并将它们发送回普林斯顿大学的服务器:包括DNS请求和响应;目标IP地址和端口;MAC地址;聚合流量统计;TLS客户端握手;以及设备制造商。
该工具的设计初衷并不会跟踪电脑、平板电脑和智能手机,因为这项研究将重点放在智能家居设备上。用户还可以通过对指定MAC设备进行操作来手动排除对单个智能设备的跟踪。
该工具最多支持同一网段下跟踪50台智能设备,如果想要追踪超过50台设备则需要联系该团队获取。
(Me.F)
閱讀更多 電腦報 的文章
