来自普林斯顿大学和波士顿东北大学的深度研究，智能家居没有隐私？

普林斯顿大学和波士顿东北大学的两篇论文研究引起外媒广泛关注，这两篇论文都把研究方向对准了现代智能家居隐私泄漏问题。

最近几天，来自普林斯顿大学和波士顿东北大学的两篇论文引起外媒广泛关注，这两篇论文都把研究方向对准了现代智能家居隐私泄漏问题，经过严密的实验后，得出负面结果让人瞠目结舌，在物联网、智能家居快速发展的今天，我们似乎也在快速丢失着自己的个人隐私。

论文说了什么？

首先介绍一下OTT（Over The Top）的概念，是指通过互联网向用户提供各种应用服务。设备提供了一种替代多频道电视订阅服务的选择，并通过广告来赚钱。

据去年年底，酷鹅用户研究院联合当贝市场、腾讯视频极光TV发布的《智能电视用户洞察报告》显示，有线电视缴费户数呈现明显下降趋势，智能电视的激活数则快速增加，预测将在2019年完成对传统电视用户数的超越（如下图）。

数量的暴增下，也带来了隐患。在一份普林斯顿大学的论文中，其研究小组开发了一套“爬虫”系统，可自动下载OTT应用程序（APP），并在拦截网络流量和TLS（安全传输层协议）拦截时与它们进行交互。该智能爬虫访问了两个主流的OTT平台（Roku和Amazon Fire TV）上的2000个频道。

结果表明，两个OTT平台上都普遍存在跟踪情况，其中69％的Roku频道和89％的Amazon Fire TV频道中都存在已知跟踪器的流量。此外，该研究小组还发现，在未加密的连接上收集和传输唯一标识符(如设备ID、序列号、WiFi MAC地址和SSID)的行为。最后得出结论：在这些设备上使用例如限制广告跟踪选项、广告屏蔽等措施，实际上是无效的。

普林斯顿大学计算机科学的副教授 Arvind Narayanan 向 The Verge 表示：“如果你会用 Roku 和 Amazon Fire TV 这样的设备看电视，那大公司会用你观看的内容建立一个全面的画像。他们的做法几乎没被监督或关注，你也不知道那些数据是在哪里出售的。”

该外媒还表示，数据是电视价格如此便宜的原因，从技术上将，人们同意了在初期设置设备时出售个人数据，但许多人甚至不知道这已经发生。

另一份来自波士顿东北大学的论文中，研究小组也进行了类似的研究。对81个具有IP连接的物联网设备进行了分析研究，其中46个购买自美国商店并部署在美国测试平台上，35个购买自英国商店并部署在英国测试平台。

图：美国IoT实验室（波士顿东北大学）

所选设备的类型如下图：摄像头类(安全摄像头和视频门铃)、智能网关、家庭自动化(智能灯光、路由器和恒温器)、电视(智能电视和电视狗)、音频(智能语音助理)、家用电器(冰箱、清洁电器、烹饪用具、气象站)。

最终得出结论：大多数设备使用加密或其他编码来保护用户的PII（个人身份信息），从而使明文的PII暴露程度降到最小。然而，即使流量加密和不依赖MITM（Man-in-the-Middle Attack，中间人攻击）或任何类型的物联网设备修改，也有明显的暴露信息的情况，有57.45%（50.27%）的被测设备会联系美国（英国）地区的第三方平台。56%的美国设备和83.8%的英国设备会联系设备以外的地区。

此外，在许多情况下，设备会允许一个偷听者来测试消费者网络并“偷用”设备。更意外的是，结果发现在用户没有使用设备的情况下，亚马逊的门铃、Alexa 及 Zmodo 的门铃等不同等智能家居设备仍然会监控用户何时说话或移动。

这两份最新研究论文给出了大部分智能家居设备并不安全的结论。

一直没隐私？

如果你长期关注这类新闻，其实这也并不稀奇。

早在2017年，乐视旗下Vizio因违规收集数据被联邦贸易委员会(FTC) 处罚220万美元，起诉中，它被指控利用其电视追踪用户的观看纪录，并将这个信息卖给市场公司，而这都没有征得客户的同意。

去年更有一件夸张案例，波特兰市的一名女子向电视台爆料：放在她家里的Echo音箱不仅未经许可就记录了她和自己丈夫在家中的对话，还将这段对话发给了她老公手下的一名员工。在这名收到了录音一头雾水的员工联系了当事人之后，她才知道自己在不知不觉中被录音了。

随后，亚马逊发布了调查报告，还原了对这次事件的整个过程：

“Echo音箱首先在嘈杂的背景声音中捕捉到了类似“Alexa”的语音，于是被唤醒。随后，Alexa将背景声音里随后的对话理解成了“发送消息”的指令，并且发出了“发送谁？”的询问。之后，Alexa又一次将听到的环境对话误解成了用户联系人列表中的某人。在Alexa再次询问“是发给某某对吗？”之后，发生了最后一次误解，这次Alexa将环境对话理解成了“对的”，用户的录音就这样被当作消息发了出去。”

而Alexa的销量增势却没有因为隐私问题而停止，今年一月份，据TechCrunch报道，亚马逊设备部门高级副总裁戴夫·利普在接受采访时透露，迄今已经售出1亿多部预装其智能助手Alexa的设备。这1亿设备不仅还有更多增长空间，似乎也让不好的事情在蔓延。

此后没几个月，彭博社就援引知情人士透露，亚马逊的一个负责评估Alexa用户指令的团队获取了用户定位数据，某些情况下还可以找到用户家庭住址。

该文中，在乔治敦法学院兼任教员的律师林赛·巴里特（Lindsey Barrett）表示，地理定位数据比其他很多用户信息都更为敏感，因为其他信息更加难以追踪到真实的人。

据《卫报》8月28日报道，在苹果的Siri服务人工审听评分项目暂停后，苹果在爱尔兰科克的公司至少300名合同工被解雇。理由是：由于“技术错误”，没有工作给他们做了。7月，媒体曝光苹果私自窃听Siri与用户的录音。

随后苹果选择了道歉，该计划允许承包商审查人们与其Siri语音助手谈话的一小部分内容。该公司表示，它将进行一些改进，使用户能够更好地控制Siri请求的处理方式。

来源：《2019中国智能家居发展白皮书》

《2019中国智能家居发展白皮书》显示，全球智能家居市场规模将在2022年达到1220一美元，2016-2022年年均增长率预测为14%。一场淘金运动下，我们的个人隐私也成了市场中的交易品，且浑然不知。