我们知道你在看什么(即使它是加密的)

在周五晚上疯狂地看六个小时没有太大意义的侦探片,用着Silent Phone(APP),品着一杯红酒,这是我基本的权利我深信不疑。我也可以说我可以这么做,因为这是我的权利并且这是私密的,把我闲暇的周末的告诉给任何人,除了Netflix(译者注:Netflix在线影片租赁提供商)。

Netflix似乎同样这么认为。自从2016年夏天以来,该公司一直使用HTTPS加密保护视频流量。但是,一些新的研究揭露,这种策略不足以让第三方服务提供商和不怀好意的攻击者窥探我所看的内容。

最近有两篇论文,一篇来自西点学院,另一篇由特拉维夫大学和康奈尔技术学院的作者收集,介绍了通过对加密数据流直接进行流量分析来识别视频的方法。一种方法为用户正在观看视频的网络提供服务的任何一方(如ISP或VPN提供商)打开窥探的大门。另一种可以被任何能够向用户的浏览器传递恶意的Javascript代码的攻击者使用。但是都要统计用户网络上传输的突发数据流量的大小,以便对各个视频进行指纹识别,并将其与已知的,记录有视频特征的数据库进行比对。

许多商业视频流媒体服务(并不仅仅是Netflix)让这样的方法让这种辨别方式成为可能。其一称为MPEG-DASH的技术将视频的内容分成小的部分。当观看直播时,实际上是在观看一个长度不确定的播放列表,这些播放列表的优劣取决于网络的速度。DASH功能是指定将哪些块传送到用户的浏览器。

第二种协议称为可变比特率加密(Variable Bit Rate,简称VBR),这是一种能消除连续数据冗余的方法,通过它可以减少发送给用户的文件的大小。当视频播放时,VBR协议将每一个新的视频帧与之前的视频帧进行比较,并清除保持不变的内容的特征。这意味着,播放一个混乱的动作场景,屏幕上的所有内容都在不停地变化,与电影片尾字幕相比,前者需要更大的数据流量,而后者几乎屏幕上的所有内容都保持黑色。

这两中网络流量的特征都是独一无二的,它们可以作为某个视频的指纹。

“一个两分钟的视频与其他视频的每两分钟是否完全不同? ”西点军校助理教授安德鲁·里德(Andrew Reed)被问到这个问题的时候这么回答:“事实证明他们是完全不同的。”

因此,通过对数据流量突变的时间和大小进行编排,这些信息包含在大部分视频流中发送的前100kb数据中,Reed和他的同事能够为超过30的万Netflix视频编写指纹数据库。

为了在攻击中使用这些信息,这个实验组直接访问提供直播流的网络视频,这样每次向服务器请求一个新的突发数据时,他们都可以检测到。使用这种技术,他们在八分钟观察后与他们已知的指纹匹配的视频有着90%的准确度。

在由哥伦比亚大学研究员兼特拉维夫大学实验信息安全实验室主管Eran Tromer, Vitaly Shmatikov Cornell Tech和他们的学生Roei Schuster的一篇补充论文中,科研人员们还展示了攻击者如何通过在用户的浏览器中运行恶意的Javascript代码来收集视频流的可变比特率。这样的Javascript代码可以由用户访问的任何网站或网络广告公司发送。并且这些代码只需要和用户在同一个网络上运行就可以实现,这意味着哪怕有人可以在他们的互联网电视上看着一个流式的电视节目,而javascript代码运行在他们处于同一个网络中的手机上,攻击仍然可以正常进行。

JavaScript运行时,代码占据并堵塞用户网络与无关的流量。每当电视机请求较大数据流量时,对手的流量就会被推迟,从而科研推断请求流量的时间和数据大小。

与里德和他的团队进行的直接测量相比,用这些方法收集到的信号噪音大得多。但是,通过深入的学习算法,Tromer的小组已经表明,视频的识别率也可以达到90%以上。

考虑到最近对FCC(联邦通信委员会)隐私规则的改变,这些调查结果与其密切相关,因为这些改变使得互联网服务提供商能够将他们的客户的浏览习惯商品化。但是这个问题目前没有一个简单的解决方法。虽然有两种方法可以造成信息泄漏,但是这两个研究小组已经确定了每个方法都需要流式视频传输的速度方面有一定让步,或者让数据流量包传输更为随机或者用恒定速率传输。

“所有这些影响都有一个成本,将由流媒体服务提供商和用户共同承担。目前很难看到有什么能激励流媒体提供商支付这些成本,以保护他们的用户的东西。“Tromer说,“我们希望,当人们意识到这些隐私泄露的风险以及自己处于被监控的环境下时,对流媒体服务隐私保护的需求会有所增加。”

本文的版权归 青橙. 所有,如需转载请联系作者。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯社交用户体验设计

欢迎来到后 ASO 时代

15230
来自专栏安智客

等级保护2.0之物联网安全风险、要求、设计

谈安全必须明确边界,物联网应作为一个整体对象,主要包括感知层、网络传输层和处理应用层等要素。规范定义是:物联网系统是将感知设备通过互联网等网络连接起来构成的一个...

20830
来自专栏华章科技

大数据告诉你:如何让大忙人及时回复邮件

网上教人们如何写邮件的建议不少,但大多还没有数据做支撑。最近,邮件效率服务商Boomerang通过分析5300多万封邮件数据,找出了一些影响邮件回复率的窍门。总...

7410
来自专栏大数据文摘

如何用2周时间促成一次1700+人参与的大数据行业调研

18460
来自专栏ATYUN订阅号

上辈子是运动员?一款人脸识别AI应用检测你与哪个世界杯运动员长得最像

挪威新闻机构VG团队开发了一款全新的AI工具,使用面部识别技术,来查找与你的长相最为相似的足球运动员。

11270
来自专栏机器之心

教程 | 如何通过57行代码复制价值8600万澳元的车牌识别项目

选自Medium 作者:Tait Brown 机器之心编译 参与:蒋思源、黄小天 Tait Brown 利用 Openalpr 库和 VicRoads API ...

49560
来自专栏程序人生

黑客马拉松

软件开发听上去高大上,但实际很简单,全部活动可以分为两类:造轮子,搭积木。这和建筑行业很相似 —— 甚至相似到软件业懒得自己编词,借用建筑业的architect...

35450
来自专栏大数据

数据到信息到知识到智慧

数据到信息到知识到智慧 这是大数据时代,这是人工智能时代,这是一个数据驱动一切的时代。 中文确实博大精深,大家都在说大数据,说数据挖掘,说知识图谱,说人工智能。...

23370
来自专栏飞总聊IT

大数据那些事(22):Interactive的Dremel

年新职责,上周开了几天的公司planning的会,接下来的六个月因为要负责关系公司生死存亡的一个重要项目的一大块,估计工作会越来越忙,留给我安心写作的时间也会大...

401110
来自专栏云计算D1net

Autopilot浮现 微软的云计算密钥

作为微软首席执行官,萨蒂亚·纳德拉可能还是位初来乍到的新人,但他对于该公司的关键性内部工具以及与Amazon及谷歌开展竞争的方案早已非常熟稔:这正是名为Auto...

42160

扫码关注云+社区

领取腾讯云代金券