DEF CON 31: Роботи-пилососи можуть робити більше, ніж вони стверджують

Інтернет речей, конфіденційність

Коли мова заходить про конфіденційність, для споживача залишається складним і майже неможливим прийняти обґрунтоване рішення.

Тоні Анскомб

16 серпня 2023  •  , 3 хв. читати

Презентація на DEF CON, 10 ранку в неділю вранці в Лас-Вегасі. Я очікував, що так і буде бути погано присутніми – я не міг помилятися більше. Переповнена зала зустріла Денніса Гізе, a відомий експерт із «злому» роботів-пилососів. Темою презентації було як заборонити вашому роботу-пилососу надсилати дані постачальнику, обговорення на основі конфіденційності та безпека.

Минулого місяця мій колега Роман Чуприк опублікований статтю на WeLiveSecurity, в якій докладно описано, як ці домашні пилососи можуть шпигувати за своїми власниками, тому я не буду вдаватися в бур’яни потенційні проблеми зі шпигунством тут, а радше обговоріть видатні частини чудово виконаного Денніса Презентація

Дослідник, якого очолював Денніс, мав просту мету – чи могли б вони рутувати цільовий пристрій без нього розібрати його? У спрощених термінах рутування пристрою означає отримання доступу до основного програмне забезпечення, що використовується для керування пристроєм, і, можливо, його модифікація. У поточному випадку це створює можливість не зробити пристрій фальшивим, а скоріше змінити програмне забезпечення, щоб ні ділитися особистими даними та повертати повний контроль власнику.

Гра слів 

Я припускаю, що на даний момент ви або достатньо кмітливі, щоб прочитати статтю Романа, або ви мати уявлення про проблеми конфіденційності, такі як роботи-пилососи з камерами, які надсилають зображення назад хмарні сервери постачальника, потенційно ідентифікуючи всі речі, які є у вашому домі.

Одна з проблем, на яку звернув увагу Денніс, полягає в тому, що заява постачальника може не відповідати дійсності: наприклад, одна Компанія, названа в презентації, стверджує, що не надсилає жодних даних назад у хмару, ніколи дублює дані, а камери на його пристроях призначені лише для захисту об’єктів у вашому домі від зіткнень. Це звучить реально, але інша функція, зазначена для того самого пристрою, полягає в тому, що ви можете отримати віддалений доступ до камери та спостерігати за роботою пристрою. Отже, як вони це роблять, якщо зображення або відеопотік не передається через хмарні сервери компанії, які забезпечують функціональність; можливо, це справжнє чаклунство.

Іншим питанням, порушеним у презентації, було формулювання, яке використовують компанії для опису функціональність і особливості продукції. Через погану пресу в останні роки щодо пристроїв з камери на них, і особливо можливість зловживання, деякі виробники вважають зняті камери; натомість у їхній документації сказано, що їхні пристрої використовують «оптичні датчики». Це просто гра слів; це — звичайно — камери, і це було продемонстровано в презентації вони здатні знімати зображення: це камери.

У презентації було наведено більше деталей і прикладів, які були такими ж шокуючими; він також підкреслив, що багато протестованих пристроїв, які мають проблеми з конфіденційністю та безпекою сертифіковано деякими відомими випробувальними лабораторіями; наведені приклади органів сертифікації: a авторитетний німецький випробувальний орган і, ширше, сертифікація пристроїв Європейського Союзу.

Твердження проти реальності 

У блозі Романа він рекомендує провести передпокупне обстеження пристроїв, що я повністю згоден у більшості випадків, якби я не прослухав цю презентацію на DEF CON. Зрозуміло, що поки безпека покращилася в мікропрограмі та роботі цих пилозбірних пристроїв, вона залишається складно і майже неможливо для споживача прийняти обґрунтоване рішення.

Пристрій, який заявляє, що не передає дані в хмару, не має вбудованих камер і проходить сертифікацію безпеки та конфіденційності від широко поважних лабораторій тестування, здається, відповідає всім вимогам споживача, який піклується про конфіденційність; насправді, однак, те, що відбувається під кришкою, може бути зовсім інший. Презентація стосувалася не одного виробника чи моделі, а переліку численні випадки обох. Поки не буде ясності, я продовжуватиму використовувати ручний пилосос будинок.

Останній коментар – подяка Деннісу Гізе за таку чудову презентацію в неділю ранок у Вегасі. Але я закликаю вас не розголошувати проблеми публічній аудиторії, а краще слідкувати галузеві стандарти розкриття інформації. Я впевнений, що компанії, що займаються роботами-пилососами, зробили б це цінують це, як і більшість споживачів. Ніхто не хоче володіти пристроєм із такою вразливістю не має виправлення через розкриття інформації, що не відповідає найкращим галузевим практикам.