DEF CON 31: Robottiimurit saattavat tehdä enemmän kuin väittävät

Esineiden Internet, Yksityisyys

Mitä tulee yksityisyyteen, kuluttajan on edelleen monimutkaista ja lähes mahdotonta tehdä tietoon perustuva päätös.

Tony Anscombe

Elokuu 16 2023  •  , 3 min. lukea

Esitys DEF CONissa, klo 10 sunnuntaiaamuna Las Vegasissa. Odotukseni oli, että olisi olla huonosti läsnä – en olisi voinut olla enemmän väärässä. Täynnä huone tervehti Dennis Gieseä, a tunnettu robottipölynimurien "hakkeroinnin" asiantuntija. Esityksen teemana oli miten estää robottipölynimuriasi lähettämästä tietoja takaisin myyjälle, yksityisyyteen perustuva keskustelu ja turvallisuus.

Viime kuussa kollegani Roman Cuprik julkaistu WeLiveSecurityn artikkeli, jossa kerrotaan kuinka nämä kodin imurointilaitteet saattavat vakoilla omistajiaan, joten en puutu rikkaruohoihin mahdollisia vakoiluongelmia täällä, vaan keskustele mieluummin Dennisin erinomaisesti toimitetun teoksen erottuvista osista esitys.

Dennisin johtamalla tutkijalla oli yksinkertainen tavoite – voisivatko he juuria kohdelaitteen ilman sen purkaminen? Laitteen juurruttaminen yksinkertaistetusti tarkoittaa taustalla olevan kohteen pääsyä ohjelmistoa, jota käytetään laitteen ohjaamiseen ja mahdollisesti sen muokkaamiseen. Tässä tapauksessa tämä luo an mahdollisuus olla tekemättä laitetta huijaukseksi vaan pikemminkin muuttaa ohjelmistoa, jotta se ei muutu jakaa henkilötietoja ja antaa lopullisen hallinnan takaisin omistajalle.

Sanojen leikkiä 

Oletan tässä vaiheessa, että olet joko tarpeeksi taitava lukeaksesi Romanin artikkelin tai että sinä ymmärrä yksityisyysongelmia, kuten robottiimurit, joiden kamerat lähettävät kuvia takaisin toimittajan pilvipalvelimet, jotka mahdollisesti tunnistavat kaikki kodissasi olevat tavarat.

Yksi Dennisin korostamista ongelmista on se, että myyjän väitteet eivät välttämättä vastaa todellisuutta: esimerkiksi yksi Esityksessä mainittu yritys väittää, että se ei lähetä mitään tietoja takaisin pilveen, se ei koskaan kopioi dataa ja että sen laitteiden kamerat ovat vain suojassa kodissasi olevia esineitä törmäyksistä. Tämä kuulostaa mahdolliselta, mutta toinen samalle laitteelle lueteltu ominaisuus on, että voit käyttää kameraa etänä ja katsella laitteen toimintaa. Joten miten he tekevät sen, jos kuva tai videovirtaa ei jaeta yrityksen pilvipalvelimien kautta, jotka tarjoavat toiminnallisuuden; ehkä siinä on jotain aitoa velhoa.

Toinen esityksessä esille nostettu kysymys oli yritysten käyttämä sanamuoto kuvaamaan tuotteiden toimivuudesta ja ominaisuuksista. Viime vuosien huonon lehdistön takia laitteisiin liittyen jotkin valmistajat ovat kuulemma kertoneet, että niissä on kamerat ja erityisesti väärinkäytön mahdollisuus poistetut kamerat; Heidän dokumentaatiossaan sen sijaan sanotaan, että heidän laitteet käyttävät "optisia antureita". Tämä on vain sanojen leikki; ne ovat tietysti kameroita, ja esityksessä osoitettiin, että se ne pystyvät ottamaan kuvia: ne ovat kameroita.

Esityksessä käsiteltiin enemmän yksityiskohtia ja esimerkkejä, jotka kaikki olivat yhtä järkyttäviä; se myös korosti, että monet testatuista laitteista, joiden havaittiin sisältävän tietosuoja- ja turvallisuusongelmia, ovat joidenkin tunnettujen testauslaboratorioiden sertifioima; annetut esimerkit varmentajista olivat a arvostettu saksalainen testausviranomainen ja laajemmin Euroopan unionin laitteiden sertifiointi.

Lausunnot vastaan ​​todellisuus 

Romanin blogikirjoituksessa hän suosittelee laitteiden ostoa edeltävän tutkimuksen tekemistä, jonka minä täysin samaa mieltä useimmissa tapauksissa, jos en olisi kuunnellut tätä esitystä DEF CONissa. On selvää, että samalla tietoturva on parantunut näiden pölynkeräyslaitteiden laiteohjelmistossa ja toiminnassa, se säilyy monimutkaista ja lähes mahdotonta kuluttajalle tehdä tietoon perustuva päätös.

Laite, joka ilmoittaa, ettei se jaa tietoja pilveen, sillä ei ole sisäisiä kameroita ja se on sertifioitu turvallisuuden ja yksityisyyden kannalta laajalti arvostettujen testauslaboratorioiden näyttäisi täyttävän kaikki vaatimukset yksityisyystietoisen kuluttajan todellisuudessa konepellin alla tapahtuva voi kuitenkin olla Täysin erilainen. Esitys ei koskenut yhtä valmistajaa tai mallia vaan listattu lukuisia tapauksia molemmista. Kunnes on selkeyttä, jatkan kädessä pidettävän imurin työntämistä talo.

Vielä viimeinen kommentti – huomionosoitus Dennis Gieselle tämän upean esityksen pitämisestä sunnuntaina aamulla Vegasissa. Mutta kehotan teitä olemaan paljastamatta asioita julkiselle yleisölle ja mieluummin seuraamaan alan koordinoimia tiedonantostandardeja. Olen varma, että robottipölynimuriyritykset tekisivät sen arvostavat tätä, kuten useimmat kuluttajat. Kukaan ei halua omistaa laitetta, jossa on haavoittuvuus ei ole korjaustiedostoa, koska se ei noudata alan parhaita käytäntöjä.