Internet das Coisas, Privacidade
Quando se trata de privacidade, continua complicado e quase impossível para um consumidor tomar uma decisão informada.
Agosto 16 2023 . , 3 minutos. ler
Uma apresentação na DEF CON, às 10h da manhã de um domingo em Las Vegas. minha expectativa era que ser mal atendido – não poderia estar mais errado. Uma sala lotada recebeu Dennis Giese, um renomado especialista em “hackear” robôs aspiradores. O tema da apresentação foi como impedir que seu robô aspirador envie dados de volta ao fornecedor, uma discussão baseada em privacidade e segurança.
No mês passado, meu colega Roman Cuprik publicado um artigo no WeLiveSecurity detalhando como esses dispositivos de aspiração domésticos podem estar espionando seus proprietários, então não vou entrar no assunto problemas potenciais de espionagem aqui, mas sim discutir as partes de destaque da excelente entrega de Dennis apresentação.
O pesquisador liderado por Dennis tinha um objetivo simples - eles poderiam fazer root no dispositivo de destino sem desmontá-lo? Enraizar o dispositivo em termos simplistas significa obter acesso ao subjacente software usado para controlar o dispositivo e, possivelmente, modificá-lo. No caso atual, isso cria um oportunidade não de fazer com que o dispositivo fique desonesto, mas sim de modificar o software para não para compartilhar dados pessoais e devolver o controle final ao proprietário.
Um jogo de palavras
Estou assumindo que neste ponto você é experiente o suficiente para ter lido o artigo de Roman ou que você ter uma noção das questões de privacidade, como robôs aspiradores com câmeras enviando fotos de volta para o servidores de nuvem do fornecedor, potencialmente identificando todas as coisas que você tem em sua casa.
Um dos problemas destacados por Dennis é que as reivindicações do fornecedor podem não corresponder à realidade: por exemplo, um empresa citada na apresentação afirma que não envia nenhum dado de volta para a nuvem, nunca duplica dados e que as câmeras em seus dispositivos estão lá apenas para proteger objetos em sua casa de colisões. Isso parece viável, mas outro recurso listado para o mesmo dispositivo é que você pode acesse a câmera remotamente e observe o funcionamento do dispositivo. Então, como eles fazem isso se a imagem ou o fluxo de vídeo não é compartilhado por meio dos servidores em nuvem da empresa que fornecem a funcionalidade; talvez haja alguma magia genuína envolvida.
Outra questão levantada na apresentação foi a redação utilizada pelas empresas para descrever o funcionalidade e características dos produtos. Devido à má imprensa nos últimos anos em relação a dispositivos com câmeras neles e, especialmente, a possibilidade de abuso, alguns fabricantes supostamente câmeras removidas; em vez disso, sua documentação diz que seus dispositivos utilizam “sensores ópticos”. Isso é apenas um jogo de palavras; são — claro — câmeras e ficou demonstrado na apresentação que eles são capazes de capturar imagens: eles são câmeras.
A apresentação entrou em mais detalhes e exemplos que foram igualmente chocantes; isso também destacou que muitos dos dispositivos testados e com problemas de privacidade e segurança são certificado por alguns laboratórios de testes renomados; os exemplos de autoridades certificadoras dados foram uma respeitada autoridade alemã de testes e, mais amplamente, a certificação de dispositivos da União Européia.
Declarações versus realidade
Na postagem do blog de Roman, ele recomenda realizar uma investigação pré-compra de dispositivos, que eu totalmente concordaria na maioria dos casos se eu não tivesse ouvido esta apresentação na DEF CON. É claro que enquanto a segurança melhorou no firmware e na operação desses dispositivos de coleta de poeira, permanece complicado e quase impossível para um consumidor tomar uma decisão informada.
Um dispositivo que declara que não compartilha dados com a nuvem, não possui câmeras integradas e possui certificação para segurança e privacidade de laboratórios de testes amplamente respeitados parecem atender a todos os requisitos de um consumidor preocupado com a privacidade; na realidade, porém, o que está acontecendo sob o capô pode ser completamente diferente. A apresentação não foi sobre um fabricante ou modelo, mas listado numerosos casos de ambos. Até que haja clareza, continuarei empurrando meu aspirador de mão ao redor do casa.
Um último comentário - um elogio a Dennis Giese por fazer uma apresentação tão boa em um domingo manhã em Las Vegas. Mas eu exorto você a não divulgar problemas para uma audiência pública e sim seguir padrões de divulgação coordenados pela indústria. Tenho certeza de que as empresas de aspiradores de robôs aprecio isso, assim como a maioria dos consumidores. Ninguém quer possuir um dispositivo com uma vulnerabilidade que não tem patch devido à divulgação não seguindo as melhores práticas da indústria.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/privacy/def-con-31-robot-vacuums-may-be-doing-more-than-they-claim/
- :tem
- :é
- :não
- 10
- 31
- a
- Sobre
- abuso
- Acesso
- Todos os Produtos
- tb
- am
- an
- e
- Outro
- qualquer
- SOMOS
- por aí
- artigo
- AS
- At
- público
- Ago
- Autoridades
- autoridade
- em caminho duplo
- Mau
- baseado
- BE
- sido
- MELHOR
- melhores práticas
- ambos
- amplamente
- mas a
- by
- chamado
- Câmera
- câmeras
- CAN
- capaz
- Capturar
- casas
- casos
- Categoria
- FDA
- reivindicar
- reivindicações
- clareza
- remover filtragem
- Na nuvem
- colega
- vem
- comentar
- Empresas
- Empresa
- complicado
- condutor
- consumidor
- Consumidores
- ao controle
- poderia
- Para
- cria
- Atual
- dados,
- decisão
- entregue
- entregando
- demonstraram
- descreve
- Detalhamento
- detalhes
- dispositivo
- Dispositivos/Instrumentos
- diferente
- divulgação
- discutir
- discussão
- do
- documentação
- parece
- fazer
- dois
- ou
- suficiente
- especialmente
- Europa
- União Européia
- exemplo
- exemplos
- expectativa
- especialista
- factível
- Característica
- Funcionalidades
- seguir
- seguinte
- Escolha
- encontrado
- da
- totalmente
- funcionalidade
- ganhando
- genuíno
- Alemão
- ter
- OFERTE
- dado
- Go
- meta
- aperto
- ótimo
- tinha
- Acontecimento
- Ter
- he
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Destaque
- Início
- capuz
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- i
- EU VOU
- identificar
- if
- imagem
- imagens
- impossível
- melhorado
- in
- indústria
- informado
- em vez disso
- para dentro
- investigação
- envolvido
- emitem
- questões
- IT
- ESTÁ
- apenas por
- Laboratório
- LAS
- Las Vegas
- Sobrenome
- levou
- Listado
- fazer
- Fabricante
- Fabricantes
- muitos
- Match
- max-width
- Posso..
- significa
- Conheça
- minutos
- modelo
- modificada
- Mês
- mais
- Manhã
- a maioria
- my
- Perto
- nunca
- não
- objetos
- of
- on
- A bordo
- ONE
- só
- operação
- or
- ordem
- Fora
- próprio
- proprietário
- proprietários
- embalado
- peças
- Remendo
- pessoal
- dados pessoais
- FOTOS
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- ponto
- possibilidade
- possivelmente
- potencialmente
- práticas
- apresentação de negócios
- imprensa
- política de privacidade
- Privacidade e segurança
- Produtos
- proteger
- fornecer
- público
- Empurrando
- angariado
- em vez
- Leia
- Realidade
- recentemente
- recomenda
- permanece
- Famoso
- Requisitos
- investigador
- respeitado
- robô
- Quarto
- raiz
- enraizamento
- mesmo
- experiente
- diz
- segurança
- parecem
- enviar
- envio
- Servidores
- Partilhar
- compartilhado
- ações
- simples
- So
- Software
- alguns
- espionagem
- padrões
- Unidos
- transmitir canais
- tal
- certo
- Target
- condições
- testado
- ensaio
- do que
- que
- A
- deles
- Eles
- tema
- Lá.
- Este
- deles
- coisas
- isto
- Apesar?
- Através da
- para
- Tony
- final
- para
- subjacente
- união
- até
- usava
- utilizar
- Vácuo
- Aspiradores
- VEGAS
- fornecedor
- Contra
- vulnerabilidade
- quer
- foi
- Assistir
- fui
- foram
- O Quê
- O que é a
- qual
- enquanto
- largamente
- precisarão
- de
- sem
- redação
- palavras
- trabalhar
- seria
- Errado
- anos
- Vocês
- investimentos
- zefirnet
