DEF CON 31: Роботы-пылесосы могут делать больше, чем заявляют

DEF CON 31: Роботы-пылесосы могут делать больше, чем заявляют

Отметка времени: 16 августа 2023 г., 5:35

Интернет вещей, Конфиденциальность

Когда дело доходит до конфиденциальности, для потребителя остается сложным и практически невозможным принять обоснованное решение.

Тони Энскомб

Тони Энскомб

Август 16 2023  •  , 3 минута. читать

DEF CON 31: Роботы-пылесосы могут делать больше, чем заявляют

Презентация на DEF CON, 10:XNUMX воскресного утра в Лас-Вегасе. Я ожидал, что это будет быть плохо посещаемым – я не мог быть более неправильным. Переполненный зал приветствовал Денниса Гизе, известный эксперт по «взлому» роботов-пылесосов. Темой выступления было то, как запретить вашему роботу-пылесосу отправлять данные обратно поставщику, обсуждение, основанное на конфиденциальности и безопасность.

В прошлом месяце мой коллега Роман Куприк опубликованный статью на WeLiveSecurity, в которой подробно описывается, как эти домашние пылесосы могут шпионить за своими владельцами, поэтому я не буду вдаваться в подробности потенциальные проблемы шпионажа здесь, а лучше обсудить выдающиеся части превосходно поставленного Деннисом презентация.

Исследователь под руководством Денниса преследовал простую цель — можно ли получить root-права на целевом устройстве без разбирать его? Проще говоря, рутирование устройства означает получение доступа к базовому программное обеспечение, используемое для управления устройством, и, возможно, модифицирующее его. В данном случае это создает возможность не портить устройство, а модифицировать программное обеспечение, чтобы не делиться личными данными и возвращать окончательный контроль владельцу.

Игра слов 

Я предполагаю, что на данный момент вы либо достаточно сообразительны, чтобы прочитать статью Романа, либо вы иметь представление о вопросах конфиденциальности, таких как роботы-пылесосы с камерами, отправляющими изображения обратно на облачные серверы поставщика, потенциально идентифицирующие все, что есть у вас дома.

Одна из проблем, отмеченных Деннисом, заключается в том, что заявления поставщиков могут не соответствовать действительности: например, компания, названная в презентации, утверждает, что не отправляет никаких данных обратно в облако, никогда дублирует данные, и что камеры на его устройствах предназначены только для защиты объектов в вашем доме от столкновений. Это звучит осуществимо, но другая функция, перечисленная для того же устройства, заключается в том, что вы можете получить доступ к камере удаленно и наблюдать за работой устройства. Итак, как они это делают, если изображение или видеопоток не передается через облачные серверы компании, обеспечивающие функциональность; возможно, здесь присутствует настоящее волшебство.

Еще одним вопросом, поднятым в презентации, были формулировки, используемые компаниями для описания функциональность и особенности продуктов. Из-за плохой прессы в последние годы, касающейся устройств с камеры на них, и особенно возможность злоупотребления, по общему мнению, некоторые производители удалены камеры; вместо этого в их документации говорится, что их устройства используют «оптические датчики». Это просто игра слов; это, конечно же, камеры, и на презентации было продемонстрировано, что они способны захватывать изображения: это камеры.

Презентация содержала больше деталей и примеров, которые были столь же шокирующими; это также подчеркнул, что многие из протестированных устройств, в которых обнаружены проблемы с конфиденциальностью и безопасностью, сертифицирован некоторыми известными испытательными лабораториями; приведенные примеры удостоверяющих центров авторитетным немецким испытательным органом и, в более широком смысле, сертификацией устройств Европейского Союза.

Заявления против реальности 

В своем блоге Роман рекомендует проводить исследование устройств перед покупкой, что я полностью согласен с большинством случаев, если бы я не слушал эту презентацию на DEF CON. Понятно, что пока улучшилась безопасность в прошивке и эксплуатации этих пылесборных устройств, осталось сложно и почти невозможно для потребителя принять обоснованное решение.

Устройство, в котором указано, что оно не передает данные в облако, не имеет встроенных камер и имеет сертификацию. для безопасности и конфиденциальности от уважаемых испытательных лабораторий, казалось бы, отвечают всем требованиям потребителя, заботящегося о конфиденциальности; на самом же деле то, что происходит под капотом, может быть полностью отличается. Презентация была посвящена не одному производителю или модели, а перечислению многочисленные случаи того и другого. Пока не будет ясности, я буду возить свой ручной пылесос по дом.

И последний комментарий — обращение к Деннису Гизе за такую ​​прекрасную презентацию в воскресенье. утро в Вегасе. Но я призываю вас не выносить вопросы на всеобщее обозрение, а лучше следить за отраслевые стандарты раскрытия информации. Я уверен, что производители роботов-пылесосов оцените это, как и большинство потребителей. Никто не хочет владеть устройством с уязвимостью, которая не имеет исправления из-за раскрытия информации, не соответствующей передовым отраслевым практикам.

Отметка времени:

Больше от Мы живем в безопасности