研究發現多數智慧電視裝置會傳送隱私資料給Netflix

美國東北大學與英國倫敦帝國學院合作，對物聯網裝置進行了大規模的隱私研究，發現大部分的裝置都會與非第一方組織連接，並傳送諸如IP位址或是地理位置等隱私資訊給第三方組織，甚至部分智慧裝置還會傳送麥克風與攝影機錄製的聲音與影像資料。目前這個研究的實驗、程式碼以及資料都在GitHub中公開。

消費物聯網裝置越來越普及，預計到了2020年，全球物聯網裝置的數量將達到200億，這些裝置提供數位助理和家庭安全等各種服務，研究人員提到，這些裝置搭載多樣的感測器，像是相機、麥克風或是動作偵測器，皆具備廣泛收集資料的能力，而這些訊息通常帶有隱私資料，裝置可能會在使用者不知情的情況下錄音，或是透露用戶的收視節目的喜好。

而更嚴重的是，這些物聯網裝置大部分缺乏揭露資訊暴露的介面，因此外界無法直接了解其中的隱私威脅，為此，研究人員大規模的對這些裝置進行透明度研究。不過，這件事並不容易，主要問題是，物聯網裝置生態系通常很封閉，因此關於資訊暴露的真實情況，可能無法精確地被揭露，特別是部分裝置的韌體無法被修改，或是無法使用中間人技術破解裝置的TLS加密流量，因此研究人員需要使用推論的方式猜測流量的內容物。

另外，要大規模的研究物聯網裝置資訊暴露是很繁瑣的工作，除了要手動設置大量的裝置外，還要使用控制裝置的回應，並捕捉裝置產生的網路流量，研究人員提到，這些裝置的實驗不像是在行動或是網頁環境，沒有現存的模擬與自動化工具可以用作分析。

這個研究進行了目前已知最大規模的控制實驗達34,586次，比較美國以及英國的81個裝置，他們觀察到大多數的裝置都使用加密或是其他編碼的方式，保護用戶的個人可辨識資料，因此整體來說，最大化降低明文暴露使用者資訊的可能性。

經他們實驗發現，絕大部分的裝置都會連接第三方組織，裝置比例分別是美國的57.45％，而英國也有50.27%，另外，美國有56％的裝置和英國有83.8％的裝置，則會與跨區域的伺服器建立連線。研究人員也提到，加密的流量並不會特別隱藏使得裝置產生流量的互動類型，因此監聽者可以輕易猜出使用者的網路以及使用裝置的方式。

同一個裝置可能會同時連接到多個非第一方組織，像是三星的電視會連結Netflix以及託管Netflix服務的Amazon AWS，研究發現絕大多數的電視裝置，都會於Netflix連線，即便電視沒有設定Netflix帳戶。比較特別的案例是，小米的電鍋會在VPN環境中連接金山軟體，而平常僅會連接阿里巴巴雲端服務。

其他不尋常的行為，還有像是當用戶在Ring門鈴前面移動的時候，門鈴會在未告知使用者的情況下啟動錄影功能，而且使用者必須要支付額外的費用才能存取這些影片，目前沒有功能可以關閉。Zmodo門鈴則會在首次啟動設備，以及任何人在裝置前移動時上傳相機快照，這功能官方沒有說明也無法關閉。

研究人員發現Alexa語音助理容易被用戶正常對話喚醒，而且比其他語音助理更容易被觸發，特別是以「我喜歡」作為開頭的句子，研究人員提到，這或許是一個語音辨識技術的限制，但這仍然存在潛在的隱私暴露問題，因為Amazon會將這個句子送往伺服器分析，但這就代表著這些句子會被永久儲存。