DEF CON 31: שואבי רובוט עשויים לעשות יותר ממה שהם טוענים

הועלה מחדש על ידי אפלטון

עוקב: 0

האינטרנט של הדברים, פרטיות

כשזה מגיע לפרטיות, זה נשאר מסובך וכמעט בלתי אפשרי עבור צרכן לקבל החלטה מושכלת.

טוני אנסקום

אוגוסט 16 2023 • , 3 דקות לקרוא

DEF CON 31: שואבי רובוט עשויים לעשות יותר ממה שהם טוענים

מצגת ב-DEF CON, 10 בבוקר ביום ראשון בבוקר בלאס וגאס. הציפייה שלי הייתה שכן להיות בהשתתפות גרועה - לא יכולתי לטעות יותר. חדר עמוס קיבל את פני דניס גיזה, א מומחה בעל שם ב"פריצת" שואבי אבק רובוטיים. נושא המצגת היה איך למנוע מהשואב הרובוט שלך לשלוח נתונים בחזרה לספק, דיון המבוסס על פרטיות וביטחון.

בחודש שעבר עמיתי רומן קופריק לאור מאמר על WeLiveSecurity המפרט כיצד אלה ייתכן שמכשירי שאיבת אבק ביתיים מרגלים אחר בעליהם, אז אני לא אכנס לעשבים השוטים של בעיות פוטנציאליות של ריגול כאן, אלא לדון בחלקים הבולטים של דניס שנמסר מצוין הַצָגָה.

לחוקר בראשות דניס הייתה מטרה פשוטה - האם הם יכולים לשרש את מכשיר היעד בלעדיו לפרק אותו? השתרשות המכשיר במונחים פשטניים פירושה השגת גישה אל הבסיס תוכנה המשמשת לשליטה במכשיר, ואולי לשנות אותו. במקרה הנוכחי, זה יוצר הזדמנות לא לגרום למכשיר להיות נוכל אלא לשינוי התוכנה כדי שלא לשתף נתונים אישיים ולהחזיר את השליטה האולטימטיבית לבעלים.

משחק מילים

אני מניח שבשלב זה אתה מתמצא מספיק בשביל לקרוא את המאמר של רומן או שאתה להבין את נושאי הפרטיות, כגון שואבי אבק רובוטיים עם מצלמות ששולחות תמונות בחזרה אל שרתי הענן של הספק, שיכולים לזהות את כל הדברים שיש לך בבית.

אחת הבעיות שהדגיש דניס היא שתביעות הספק עשויות שלא להתאים למציאות: למשל אחת החברה שנקראה במצגת טוענת שהיא לא שולחת שום נתונים בחזרה לענן, היא אף פעם לא משכפל נתונים, ושהמצלמות במכשיריו נמצאות רק כדי להגן על חפצים בבית שלך מהתנגשויות. זה נשמע אפשרי, אבל תכונה נוספת הרשומה עבור אותו מכשיר היא שאתה יכול לגשת למצלמה מרחוק ולראות את המכשיר פועל. אז איך הם עושים את זה אם התמונה או זרם וידאו אינו משותף דרך שרתי הענן של החברה המספקים את הפונקציונליות; אולי יש בזה איזה קוסמות אמיתית.

סוגיה נוספת שהועלתה במצגת הייתה הניסוח ששימשו חברות לתיאור פונקציונליות ותכונות של המוצרים. עקב עיתונות גרועה בשנים האחרונות הנוגעות למכשירים עם מצלמות שעליהן, ובמיוחד אפשרות של ניצול לרעה, מספר יצרנים כביכול מצלמות שהוסרו; התיעוד שלהם אומר שהמכשירים שלהם משתמשים ב"חיישנים אופטיים". זה רק משחק מילים; הן - כמובן - מצלמות וזה הוכח במצגת הם מסוגלים לצלם תמונות: הם מצלמות.

המצגת נכנסה לפרטים נוספים ודוגמאות שכולם היו מזעזעים באותה מידה; זה גם הדגיש שרבים מהמכשירים שנבדקו ונמצאו שיש להם בעיות פרטיות ואבטחה מאושר על ידי כמה מעבדות בדיקה ידועות; הדוגמאות לרשויות המאשרות שניתנו היו א מכובד את רשות הבדיקות הגרמנית, ובאופן רחב יותר, הסמכה של האיחוד האירופי למכשירים.

אמירות מול מציאות

בפוסט הבלוג של רומן, הוא ממליץ לבצע חקירה לפני רכישה של מכשירים, ואני לגמרי מסכים עם ברוב המקרים לולא הקשבתי למצגת הזו ב-DEF CON. ברור שבזמן האבטחה השתפרה בקושחה ובפעולה של התקני איסוף אבק אלה, זה נשאר מסובך וכמעט בלתי אפשרי לצרכן לקבל החלטה מושכלת.

מכשיר שמצהיר שהוא לא חולק נתונים לענן, אין לו מצלמות, והוא נושא הסמכה נראה כי עבור אבטחה ופרטיות ממעבדות בדיקה מכובדות עומדות בכל הדרישות של צרכן מודע לפרטיות; אבל במציאות, מה שקורה מתחת למכסה המנוע עשוי להיות שונה לחלוטין. המצגת לא הייתה על יצרן או דגם אחד אלא רשומה מקרים רבים של שניהם. עד שתהיה בהירות, אני אמשיך לדחוף את שואב האבק הידני שלי מסביב בַּיִת.

הערה אחרונה - הסבר לדניס גיזה על העברת מצגת כל כך נהדרת ביום ראשון בוקר בווגאס. אבל אני קורא לך לא לחשוף נושאים לקהל ציבורי אלא לעקוב תקני גילוי מתואמים בתעשייה. אני בטוח שחברות שואבי האבק הרובוטים יעשו זאת מעריכים זאת, כמו רוב הצרכנים. אף אחד לא רוצה להחזיק מכשיר עם פגיעות כזו אין תיקון עקב גילוי שלא פעל לפי שיטות עבודה מומלצות בתעשייה.