DEF CON 31: Penyedot debu robot mungkin melakukan lebih dari yang diklaimnya

Internet of Things, Privasi

Dalam hal privasi, tetap rumit dan hampir tidak mungkin bagi konsumen untuk membuat keputusan berdasarkan informasi.

Tony Ancombe

16 Agustus 2023  •  , 3 menit Baca

Presentasi di DEF CON, pukul 10 pagi pada hari Minggu pagi di Las Vegas. Harapan saya adalah itu akan terjadi dihadiri dengan buruk - saya sangat salah. Ruangan yang penuh sesak menyambut Dennis Giese, a ahli terkenal dalam penyedot debu robot "peretasan". Tema presentasinya adalah how to hentikan penyedot debu robot Anda mengirim data kembali ke vendor, diskusi berdasarkan privasi dan keamanan.

Bulan lalu rekan saya Roman Cuprik diterbitkan artikel tentang WeLiveSecurity merinci bagaimana ini perangkat penyedot debu rumah mungkin memata-matai pemiliknya, jadi saya tidak akan membahasnya potensi masalah memata-matai di sini melainkan membahas bagian menonjol dari Dennis yang disampaikan dengan sangat baik presentasi.

Peneliti yang dipimpin Dennis memiliki tujuan sederhana – dapatkah mereka melakukan root pada perangkat target tanpa membongkarnya? Rooting perangkat dalam istilah sederhana berarti mendapatkan akses ke yang mendasarinya perangkat lunak yang digunakan untuk mengontrol perangkat, dan mungkin memodifikasinya. Dalam kasus saat ini, ini menciptakan sebuah kesempatan untuk tidak membuat perangkat menjadi nakal melainkan untuk perangkat lunak yang akan dimodifikasi agar tidak untuk berbagi data pribadi dan memberikan kendali penuh kembali kepada pemiliknya.

Sebuah permainan kata-kata 

Saya berasumsi pada titik ini Anda cukup paham untuk membaca artikel Roman atau Anda memahami masalah privasi, seperti penyedot debu robot dengan kamera yang mengirim gambar kembali ke server cloud vendor, berpotensi mengidentifikasi semua hal yang Anda miliki di rumah.

Salah satu masalah yang disoroti oleh Dennis adalah bahwa klaim vendor mungkin tidak sesuai dengan kenyataan: misalnya satu perusahaan yang dipanggil dalam presentasi mengklaim tidak mengirim data apa pun kembali ke cloud, tidak pernah menggandakan data, dan kamera di perangkatnya hanya ada untuk melindungi objek di rumah Anda dari tabrakan. Kedengarannya layak, tetapi fitur lain yang terdaftar untuk perangkat yang sama adalah Anda bisa mengakses kamera dari jarak jauh dan menonton perangkat bekerja. Jadi bagaimana mereka melakukannya jika gambar atau streaming video tidak dibagikan melalui server cloud perusahaan yang menyediakan fungsionalitas tersebut; mungkin ada beberapa sihir asli yang terlibat.

Isu lain yang diangkat dalam presentasi adalah kata-kata yang digunakan oleh perusahaan untuk menggambarkan fungsi dan fitur produk. Karena pers yang buruk dalam beberapa tahun terakhir terkait dengan perangkat dengan kamera pada mereka, dan terutama kemungkinan penyalahgunaan, konon beberapa produsen kamera yang dilepas; dokumentasi mereka malah mengatakan perangkat mereka menggunakan "sensor optik". Ini hanya permainan kata-kata; mereka - tentu saja - kamera dan itu ditunjukkan dalam presentasi itu mereka mampu menangkap gambar: mereka adalah kamera.

Presentasi membahas lebih detail dan contoh yang sama mengejutkannya; juga menyoroti bahwa banyak perangkat yang diuji dan ditemukan memiliki masalah privasi dan keamanan disertifikasi oleh beberapa laboratorium pengujian terkenal; contoh otoritas sertifikasi yang diberikan adalah a otoritas pengujian Jerman yang dihormati dan, lebih luas lagi, sertifikasi perangkat Uni Eropa.

Pernyataan versus kenyataan 

Di posting blog Roman, dia merekomendasikan untuk melakukan penyelidikan pra-pembelian perangkat, yang saya lakukan sepenuhnya setuju dengan dalam banyak hal seandainya saya tidak mendengarkan presentasi ini di DEF CON. Jelas bahwa sementara keamanan telah ditingkatkan dalam firmware dan pengoperasian perangkat pengumpul debu ini, tetap rumit dan hampir tidak mungkin bagi konsumen untuk membuat keputusan.

Perangkat yang menyatakan tidak membagikan data ke cloud, tidak memiliki kamera terpasang, dan membawa sertifikasi untuk keamanan dan privasi dari laboratorium pengujian yang dihormati secara luas tampaknya memenuhi semua persyaratan dari konsumen yang sadar privasi; pada kenyataannya, apa yang terjadi di bawah tenda mungkin benar-benar berbeda. Presentasinya bukan tentang satu pabrikan atau model tetapi terdaftar banyak kasus keduanya. Sampai ada kejelasan, saya akan tetap mendorong vakum genggam saya di sekitar rumah.

Satu komentar terakhir – seruan kepada Dennis Giese karena menyampaikan presentasi yang luar biasa pada hari Minggu pagi di Vegas. Tapi saya mendesak Anda untuk tidak membocorkan masalah kepada audiens publik dan lebih baik mengikuti standar pengungkapan terkoordinasi industri. Saya yakin perusahaan penyedot debu robot akan melakukannya menghargai ini, seperti kebanyakan konsumen. Tidak ada yang mau memiliki perangkat dengan kerentanan itu tidak memiliki tambalan karena pengungkapan tidak mengikuti praktik terbaik industri.