DEF CON 31: Robot hút bụi có thể làm được nhiều hơn những gì chúng tuyên bố

Internet vạn vật, quyền riêng tư

Khi nói đến quyền riêng tư, người tiêu dùng vẫn phức tạp và gần như không thể đưa ra quyết định sáng suốt.

Tony Anscombe

16 Tháng Tám 2023  •  , 3 phút đọc

Buổi thuyết trình tại DEF CON, 10 giờ sáng Chủ nhật ở Las Vegas. Kỳ vọng của tôi là nó sẽ được tham dự ít - tôi không thể sai nhiều hơn. Một căn phòng chật cứng chào đón Dennis Giese, một chuyên gia nổi tiếng về “hack” robot hút bụi. Chủ đề của bài thuyết trình là làm thế nào để ngăn máy hút bụi robot của bạn gửi dữ liệu trở lại nhà cung cấp, một cuộc thảo luận dựa trên quyền riêng tư và an ninh.

Tháng trước đồng nghiệp của tôi Roman Cuprik công bố một bài viết trên WeLiveSecurity mô tả chi tiết cách thực hiện những điều này các thiết bị hút bụi tại nhà có thể đang theo dõi chủ nhân của chúng, vì vậy tôi sẽ không đi sâu vào tìm hiểu các vấn đề tiềm tàng của hoạt động gián điệp ở đây mà là thảo luận về những phần nổi bật trong tác phẩm được chuyển tải một cách xuất sắc của Dennis trình bày.

Nhà nghiên cứu do Dennis dẫn đầu có một mục tiêu đơn giản – liệu họ có thể root thiết bị mục tiêu mà không cần tháo rời nó? Root thiết bị theo cách đơn giản có nghĩa là có được quyền truy cập vào cơ sở phần mềm được sử dụng để điều khiển thiết bị và có thể sửa đổi thiết bị. Trong trường hợp hiện tại, điều này tạo ra một cơ hội không làm cho thiết bị gặp trục trặc mà là để phần mềm được sửa đổi để không để chia sẻ dữ liệu cá nhân và trao lại quyền kiểm soát cuối cùng cho chủ sở hữu.

Một cách chơi chữ 

Tôi giả định tại thời điểm này bạn đủ hiểu biết để đọc bài viết của Roman hoặc bạn nắm bắt được các vấn đề về quyền riêng tư, chẳng hạn như robot hút bụi có camera gửi hình ảnh trở lại máy chủ đám mây của nhà cung cấp, có khả năng xác định tất cả những thứ bạn có trong nhà.

Một trong những vấn đề được Dennis nhấn mạnh là tuyên bố của nhà cung cấp có thể không phù hợp với thực tế: ví dụ như một công ty đã nêu rõ trong bài thuyết trình rằng họ không gửi bất kỳ dữ liệu nào trở lại đám mây, nó không bao giờ trùng lặp dữ liệu và camera trên thiết bị của nó chỉ ở đó để bảo vệ các đồ vật trong nhà bạn từ những va chạm. Điều này nghe có vẻ khả thi nhưng một tính năng khác được liệt kê cho cùng một thiết bị là bạn có thể truy cập máy ảnh từ xa và xem thiết bị hoạt động. Vậy họ làm điều đó như thế nào nếu hình ảnh hoặc luồng video không được chia sẻ thông qua các máy chủ đám mây cung cấp chức năng của công ty; có thể có một số phép thuật thực sự liên quan.

Một vấn đề khác được nêu ra trong bài thuyết trình là từ ngữ được các công ty sử dụng để mô tả chức năng và đặc tính của sản phẩm. Do báo chí xấu trong những năm gần đây liên quan đến các thiết bị có máy ảnh trên chúng, và đặc biệt là khả năng lạm dụng, một số nhà sản xuất đã cho rằng máy ảnh bị loại bỏ; thay vào đó, tài liệu của họ cho biết thiết bị của họ sử dụng “cảm biến quang học”. Đây chỉ là một cách chơi chữ; chúng - tất nhiên - là máy ảnh và điều đó đã được chứng minh trong bài thuyết trình rằng chúng có khả năng chụp ảnh: họ là những chiếc máy ảnh.

Bài thuyết trình đi vào nhiều chi tiết hơn và nhiều ví dụ gây sốc hơn; nó cũng nhấn mạnh rằng nhiều thiết bị được kiểm tra và phát hiện có vấn đề về quyền riêng tư và bảo mật được chứng nhận bởi một số phòng thử nghiệm nổi tiếng; các ví dụ về các cơ quan chứng nhận được đưa ra là một tôn trọng cơ quan kiểm nghiệm của Đức và rộng hơn là chứng nhận thiết bị của Liên minh Châu Âu.

Tuyên bố so với thực tế 

Trong bài đăng trên blog của Roman, anh ấy khuyên bạn nên tiến hành điều tra trước khi mua thiết bị. đồng tình với hầu hết các trường hợp nếu tôi không nghe bài thuyết trình này tại DEF CON. Rõ ràng là trong khi bảo mật đã được cải thiện trong phần sụn và hoạt động của các thiết bị thu thập bụi này, nó vẫn còn phức tạp và gần như không thể để người tiêu dùng đưa ra quyết định sáng suốt.

Một thiết bị cho biết nó không chia sẻ dữ liệu lên đám mây, không có camera tích hợp và có chứng nhận về bảo mật và quyền riêng tư từ các phòng thử nghiệm được tôn trọng rộng rãi dường như đáp ứng tất cả các yêu cầu của người tiêu dùng quan tâm đến quyền riêng tư; Tuy nhiên, trên thực tế, những gì đang diễn ra có thể là hoàn toàn khác. Bài thuyết trình không nói về một nhà sản xuất hay mẫu mã nào mà liệt kê nhiều trường hợp của cả hai. Cho đến khi có sự rõ ràng, tôi sẽ tiếp tục đẩy máy hút bụi cầm tay của mình xung quanh nhà ở.

Một nhận xét cuối cùng - lời khen ngợi Dennis Giese vì đã có một bài thuyết trình tuyệt vời vào Chủ nhật buổi sáng ở Vegas. Nhưng tôi mong bạn đừng tiết lộ vấn đề cho khán giả đại chúng mà hãy làm theo tiêu chuẩn công bố thông tin do ngành điều phối. Tôi chắc chắn rằng các công ty robot hút bụi sẽ đánh giá cao điều này, cũng như hầu hết người tiêu dùng. Không ai muốn sở hữu một thiết bị có lỗ hổng bảo mật không có bản vá do tiết lộ không tuân theo các thông lệ tốt nhất trong ngành.