DEF CON 31: قد تقوم مكنسة الروبوت بأكثر مما تدعي

إنترنت الأشياء، الخصوصية

عندما يتعلق الأمر بالخصوصية، يظل الأمر معقدًا ويكاد يكون من المستحيل على المستهلك اتخاذ قرار مستنير.

توني أنسكومب

أغسطس 16 2023  •  , 3 دقيقة. اقرأ

عرض تقديمي في DEF CON، الساعة 10 صباحًا يوم الأحد في لاس فيغاس. توقعي كان ذلك كان الحضور سيئًا - لم يكن من الممكن أن أكون مخطئًا أكثر. استقبلت غرفة مكتظة دينيس جيز، أ خبير مشهور في "اختراق" المكانس الكهربائية الروبوتية. وكان موضوع العرض كيف أوقف المكنسة الكهربائية الروبوتية الخاصة بك من إرسال البيانات مرة أخرى إلى البائع، وهي مناقشة تعتمد على الخصوصية و الامن.

الشهر الماضي زميلي رومان كوبريك نشرت مقال عن WeLiveSecurity يوضح بالتفصيل كيفية القيام بذلك قد تكون أجهزة الكنس المنزلية تتجسس على أصحابها، لذا لن أخوض في أعشابها القضايا المحتملة للتجسس هنا ولكن بدلاً من ذلك ناقش الأجزاء البارزة من تقديم دينيس بشكل ممتاز عرض.

كان لدى الباحث دينيس هدفًا بسيطًا – هل يمكنهم عمل روت للجهاز المستهدف بدونه تفكيك ذلك؟ إن تجذير الجهاز بعبارات مبسطة يعني الوصول إلى العناصر الأساسية البرامج المستخدمة للتحكم في الجهاز وربما تعديله. في الحالة الحالية، يؤدي هذا إلى إنشاء فرصة عدم جعل الجهاز يفسد بل تعديل البرنامج حتى لا يحدث ذلك لمشاركة البيانات الشخصية وإعادة السيطرة النهائية إلى المالك.

اللعب على الكلمات 

أفترض في هذه المرحلة أنك إما ذكي بما يكفي لقراءة مقال رومان أو أنك كذلك أن يكون لديك فهم لقضايا الخصوصية، مثل المكانس الكهربائية الروبوتية المزودة بكاميرات التي ترسل الصور مرة أخرى إلى الخوادم السحابية الخاصة بالبائع، ومن المحتمل أن تحدد جميع الأشياء الموجودة في منزلك.

إحدى المشكلات التي أبرزها دينيس هي أن مطالبات البائعين قد لا تتطابق مع الواقع: على سبيل المثال تدعي الشركة المذكورة في العرض التقديمي أنها لا ترسل أي بيانات إلى السحابة، ولم تفعل ذلك أبدًا يكرر البيانات، وأن الكاميرات الموجودة على أجهزته موجودة فقط لحماية الأشياء الموجودة في منزلك من الاصطدامات. يبدو هذا ممكنًا، ولكن هناك ميزة أخرى مدرجة لنفس الجهاز وهي أنه يمكنك ذلك الوصول إلى الكاميرا عن بعد ومشاهدة عمل الجهاز. فكيف يفعلون ذلك إذا كانت الصورة أو ولا تتم مشاركة دفق الفيديو من خلال الخوادم السحابية للشركة التي توفر الوظيفة؛ ربما يكون هناك بعض السحر الحقيقي.

وهناك قضية أخرى أثيرت في العرض وهي الصياغة التي تستخدمها الشركات لوصف وظائف وميزات المنتجات. بسبب الصحافة السيئة في السنوات الأخيرة فيما يتعلق بالأجهزة ذات الكاميرات عليها، وخاصة إمكانية إساءة الاستخدام، كما يقال أن بعض الشركات المصنعة الكاميرات التي تمت إزالتها وبدلاً من ذلك، تشير وثائقهم إلى أن أجهزتهم تستخدم "أجهزة استشعار بصرية". هذا فقط اللعب على الكلمات. إنها – بالطبع – الكاميرات وقد تم توضيح ذلك في العرض التقديمي إنهم قادرون على التقاط الصور: إنها كاميرات.

وتطرق العرض إلى مزيد من التفاصيل والأمثلة التي كانت كلها صادمة؛ ذلك أيضا أبرزت أن العديد من الأجهزة التي تم اختبارها وتبين أنها تعاني من مشكلات تتعلق بالخصوصية والأمان معتمدة من قبل بعض مختبرات الاختبار الشهيرة. وكانت أمثلة السلطات المصدقة المقدمة هي أ هيئة اختبار ألمانية محترمة، وعلى نطاق أوسع، شهادة الاتحاد الأوروبي للأجهزة.

التصريحات مقابل الواقع 

في مدونة رومان، يوصي بإجراء فحص ما قبل الشراء للأجهزة، وهو ما أقوم به بالكامل أتفق مع ذلك في معظم الحالات لو أنني لم أستمع إلى هذا العرض التقديمي في DEF CON. من الواضح أنه في حين لقد تحسن الأمان في البرامج الثابتة وتشغيل أجهزة جمع الغبار هذه، ولا يزال الأمر كذلك معقدة ويكاد يكون من المستحيل على المستهلك اتخاذ قرار مستنير.

جهاز ينص على أنه لا يشارك أي بيانات في السحابة، ولا يحتوي على كاميرات مدمجة، ويحمل شهادة يبدو أن الأمان والخصوصية من مختبرات الاختبار المحترمة على نطاق واسع يلبي جميع المتطلبات للمستهلك الواعي بالخصوصية؛ في الواقع، على الرغم من ذلك، فإن ما يحدث تحت الغطاء قد يكون كذلك مختلف تماما. لم يكن العرض التقديمي يتعلق بمصنع أو نموذج واحد ولكنه مدرج العديد من الحالات على حد سواء. وإلى أن يكون هناك وضوح، سأستمر في دفع المكنسة الكهربائية المحمولة باليد حول المكان منزل.

تعليق أخير – وسيلة شرح لدينيس جيزى لتقديم مثل هذا العرض الرائع يوم الأحد الصباح في فيغاس. لكني أحثك ​​على عدم الكشف عن القضايا للجمهور العام وبدلاً من ذلك متابعتها معايير الإفصاح المنسقة للصناعة. أنا متأكد من أن شركات المكنسة الكهربائية الروبوتية ستفعل ذلك نقدر هذا، كما يفعل معظم المستهلكين. لا أحد يرغب في امتلاك جهاز به ثغرة أمنية لا يحتوي على تصحيح بسبب عدم اتباع أفضل ممارسات الصناعة.