每种设备各自都有独特的流量特征智能家居IoT设备的每次上线都会暴露出自身意图

Sense睡眠监测器

普林斯顿大学的科学家们认为，仅需对网络流量略作分析，极不安全之物联网便会吐出有关智能家庭的大堆敏感信息。

症结在于：每种设备各自都有独特的流量特征——恒温器的表现与灯光控制器不同，车库门开启设备又是另一种表现，诸如此类。

科学家们对Sense睡眠监测器、Nest Cam 室内安全摄像头、WeMo交换机和亚马逊Echo进行了测试，发现即便通信流量被加密，这些设备的流量指纹也是可识别的。

因为会产生可识别的流量模式，每种被测试设备都在向外泄露信息：Sense揭露了用户的睡眠模式;Nest Cam 向攻击者透露出监控时段或动感触发模式;WeMo揭示设备启动或关闭状态;Echo泄露对话时间。

攻击者需要找到捕获流量的途径。普林斯顿大学研究人员假设攻击者是从网络服务供应商(ISP)处嗅探到流量，但这肯定不是唯一途径。

只要能获得流量，识别设备的方法千千万。比如说，Sense和 Nest Cam 连接不同的服务IP地址和端口，而且即便某设备与多个服务交互，黑客通常只需识别出一种标识设备状态的流量即可。

IoT通联表

尽管可以从一般流量中推断出某些用户活动，例如机器会在全家都睡觉时进入休眠状态，但这种推断基于很多假设。比如，用户一上床就停止使用其他设备，全家每个人都同时上床睡觉且不共享其他设备，用户不在睡眠时让其他设备进行网络密集任务或更新。

流量特别容易被标绘特征的情况下，加密也无济于事

Sense睡眠监测器更具揭示功能，因为这是个单一用途的设备。研究人员测试的其他设备同样如此。

在论文中，研究人员呼吁强化用户隐私保护意识，并推出可供用户管理隐私的工具。同时升级版的监管似乎也是必要的。

研究人员的论文中并未要求制造商停止非必要的数据收集行为，但这一点似乎才是重中之重。

本文转自d1net（转载）