家庭自动化规则比我们认为的风险更大吗

根据家庭自动化公司IFTTT(“ If This，Then That ”的缩写)，每个月有大约1100万人在家中使用超过10亿个家庭自动化规则(通常称为“ applets”)。但是2017年的一项研究发现，近一半的IFTTT小程序可能会对用户构成安全或隐私威胁。

事实证明，这些小程序中的许多在理论上都是有风险的，但实际上并不那么危险。但是，用户还应注意其他类型的威胁。

这些是卡内基梅隆大学CyLab研究人员领导的一项最新研究的发现。研究结果在本月初举行的可用隐私和安全性(SOUPS)研讨会上进行了介绍。

先前的研究发现，大部分IFTTT小程序可能会向用户公开用户的私人信息(这是对隐私的侵犯)，或者是授予信任度较低的实体对其信息或设备的控制(即对完整性的侵犯)，但这项最新研究发现，这些风险中有许多在现实世界中不会发挥作用。

负责这项研究的CyLab博士后研究员卡米尔·科布(Camille Cobb)说：“在许多方面，仍然存在风险的机会，但实际上，用户大部分都是安全的。”

在研究中，研究小组收集并分析了28位研究参与者安装的732个小程序，并向参与者提出了一系列调查问题，以更好地了解他们的小程序及其使用方式。该团队使用了一种工具，该工具可刮刮有关参与者小程序的特定信息，包括用户指定的小程序标题。

他们的分析发现，在许多情况下，小程序理论上可能会导致保密或完整性受到侵犯，但以使用小程序的特定方式，实际上并不太可能造成任何伤害。

例如，许多参与者使用的小程序将关于在家中某项操作的信息(例如窗户打开或在其前廊中检测到的运动)共享给Google表格之类的云存储服务。由于理论上可以公开共享Google表格，因此，最初的风险分析得出结论，该小程序可能存在侵犯隐私的行为。

“在我们询问的每种情况下，每个用户都说他们不与任何人共享Google表格，” Cobb说。“这是我们认为可能存在风险，当然也可能存在风险的一个例子，但在大多数现实情况下，可能没有风险。”

但是，研究人员确实找到了一些现实生活中的例子，即所谓的“偶然用户威胁”，而以前的研究并未发现这一点。简而言之，他们发现许多小应用程序除设置用户的用户外，还有很大的机会收集有关人员的信息，这些信息可能会被窃取或滥用。

柯布说：“有一条规则的标题是：“如果有人给我发短信，请将其内容保存到Google表格中。” “发给我短信的人可能不会想到，发给我的任何东西都会以这种形式保存。也许他们对此不满意。”

柯布说，如果想被当作私人短信对话的内容存在于两个地方，那么这会增加偶然与更多听众共享的风险。

鉴于这些结果，研究人员提出了一些指导方针，以期在将来创建更好的工具来帮助识别有风险的小程序。尽管这项研究总体上对大多数IFTTT用户来说是个好消息，但Cobb警告说，他们仍然应该认真对待有风险的小程序。

Cobb说：“仅仅因为发现的小程序可能比我们以前认为的要危险的少，这并不意味着我们不应该继续努力使那些小程序的危险性降低。”