Още една седмица, още един доклад за технологични продукти, които имат ужасни проблеми със сигурността и поверителността. Този път е на Анкер Марка свързани камери Eufy, но следващата седмица ще е нещо различно. Не чакайте, това вече е нещо различно през същата седмица, тъй като ключовете за подписване на приложения от производителите на телефони с Android бяха „изтекли“.
Изглежда, че всичките ви неща са дефектни и просто чакат да станат опасни за използване.
Сериозно. няма свързано устройство или приложение, създадено някога, което да няма вградени потенциални пропуски в сигурността или поверителността, които просто чакат някой да ги намери и използва. Хората, които проектират и създават устройства, както и хората, които пишат кода, който ги захранва, не са магически. Те са много умни хора, които работят много усилено, за да се уверят, че възможно най-много потенциални грешки и недостатъци са уловени, преди продуктът да бъде пуснат, но те все още са хора, така че грешките и недостатъците ще намерят начин.
Това обаче не е истинската причина за безпокойство. Тъй като всичко под слънцето може да се използва под някаква форма, важното е какво се случва, след като тези недостатъци бъдат открити. Добрите компании осъзнават своята отговорност и действат съответно.
Аферата Note 7
Не е имало продукт с проблеми, за който са изразходвани повече думи от този Samsung Galaxy Note 7. Въпреки че не е софтуерен дефект (вероятно), той имаше сериозен проблем, за който повечето от нас знаят, защото сме чували за него навсякъде - батерията беше склонна да експлодира и да се запали. Много по-често от други телефони.
Винаги използвам Note 7 като тестов случай, когато обмислям дали една компания прави правилното нещо с проблемен продукт. Можем да предположим, че никой в Samsung не е знаел, че има проблем, който може да доведе до огнения срив на Galaxy Note 7, преди да бъде пуснат в продажба. В крайна сметка обаче беше очевидно.
Пътят на Samsung към правилните неща е интересен сега, когато всичко приключи. Първоначално компанията не призна грешка. Той изпрати хора да помогнат при разследването, поиска дефектни продукти, които да прегледат, и остави PR да се справи с проблема. Въпреки че Samsung никога не е посочил с пръст някой друг и е казал, че правите нещо нередно - онлайн Армията от коментатори на Samsung се погрижи за тази част – някак си се стори, че са склонни по този начин и са на път да го направят казвам "Държиш го погрешно."
В крайна сметка обаче Samsung признаха проблема и изтеглиха телефоните. След това ги пусна отново с абсолютно същия проблем, което накара да изглежда, че всъщност не адресират нищо. В крайна сметка Galaxy Note 7 беше изваден от пазара, Samsung предложи кредит на хората за нов телефон и компанията инвестира в чисто нова програма за подобряване на безопасността на батерията за всичко мобилни устройства.
Всеки път, когато се появи, обичам да напомням на хората, че Samsung най-накрая са направили правилното нещо и повече, но отне известно време, за да стигнем дотам. Това подгъване и хавинг, макар и важно за глобалните продажби и печалби, навреди на репутацията на Samsung.
Знаете ли, че стотици батерии на iPhone се запалват всяка година? Същото важи за почти всяка марка или продукт, който използва литиеви батерии с малки клетки. И продукти, които използват големи литиеви батерии. Ако достатъчно висок процент устройства се запалят, друга компания ще бъде в същата ситуация като Samsung беше с Note 7 - и щеше да види как Samsung се справи с него, за да разбере как и как не продължете.
Как да не го правиш
"Ние категорично не сме съгласни с обвиненията срещу компанията относно сигурността на нашите продукти. Разбираме обаче, че последните събития може да са причинили безпокойство на някои потребители. Ние често преглеждаме и тестваме нашите функции за сигурност и насърчаваме обратната връзка от по-широката индустрия за сигурност, за да гарантираме, че адресираме всички надеждни уязвимости в сигурността. Ако бъде идентифицирана достоверна уязвимост, ние предприемаме необходимите действия, за да я коригираме. В допълнение, ние спазваме всички подходящи регулаторни органи на пазарите, където се продават нашите продукти. И накрая, насърчаваме потребителите да се свързват с нашия специализиран екип за поддръжка на клиенти с въпроси."
Това е отговорът на Eufy на последния проблем около потребителските камери за наблюдение. В случай, че не знаете, беше показано от действителни примери, че Eufy съхранява изображения на лица заедно с лични идентифициращи данни в облака без разрешение. Освен това е доста тривиално да гледате поток на живо от която и да е камера на Eufy чрез експлойт, много подобен на други, които винаги са измъчвали потребителските камери. Оф.
Забележете, че компанията не отрича, че тук има проблем — тя само „категорично не е съгласна“, че има проблеми със сигурността. Това води до същия резултат, но дава на компанията изход, когато (не ако) трябва да признае наличието на проблеми.
Освен това прави компанията да изглежда като горещ боклук. Аз, както и безброй хора с мъничко компютърни познания, знаем, че има проблем и бих могъл да го възпроизведа без много проблеми. На ръба направи точно това, за да го докаже двойно (това вече е дума).
Трябва ли да вярваме, че Eufy не смята, че съхраняването на потребителски данни на отдалечени сървъри без разрешение или възможността да гледате поток от камера, притежавана от някой друг, не е основателна загриженост? Защото това е, което чета тук.
Е, сега котките излязоха от чантата... така че може и да ви кажа. Можете дистанционно да стартирате поток и да гледате @EufyOfficial камери на живо с помощта на VLC. Без удостоверяване, без криптиране. Моля, не искайте PoC - не мога да пусна този. Внимание @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25 ноември 2022 г
Виж повече
За да бъде ясно - вторият проблем не е толкова голям проблем за компанията, колкото първият. Както споменах по-горе, този вид недостатъци съществуват и в крайна сметка някой ще намери начин да ги използва и Eufy не е сам в това отношение. Компанията може да идентифицира какво не е наред, да го поправи, да изпрати актуализация на фърмуера до всички засегнати устройства и да бъде извикана да направи правилното нещо. Вместо това, това.
Другият проблем, при който данните и изображенията за разпознаване на лица се изпращат и запазват, е още една кутия с червеи. Това е или грешка в кодирането, или причина камерите Eufy да бъдат забранени. Наистина, наистина се надявам да е просто грешка в кодирането.
Най-добрият начин е чрез награди за грешки
Най-големите и критични недостатъци, независимо дали са в хардуерното пространство или в софтуера, засягат Apple, Google и Microsoft. Това е така, защото тези три компании контролират почти целия софтуер на най-умните потребителски устройства – телефони, таблети, носими устройства и компютри.
Когато се разкрие недостатък, тримата големи не могат да си позволят да седят и да отлагат, защото потенциално милиарди потребители са изложени на риск и ще има доста сериозни финансови последици. Хей, каквото и да е необходимо, за да накараме технологичните компании да се грижат за нашите най-добри интереси, нали?
Едно нещо, което тези три компании използват, е програма за награди за грешки. Това означава, че ще ви плащат за намиране на недостатъци в техните продукти.
Наградите за грешки са правилният начин да печелите пари от експлойт на софтуер.
Хората, които открият критични недостатъци, имат два избора - да ги докладват, за да могат да бъдат коригирани, преди да се превърнат в проблем, или да ги продадат на предложил най-висока цена в „тъмната мрежа“ — свободен термин за частта от интернет, до която имате достъп по различен начин чрез различни софтуер. Вероятно няма да ви хареса много от това, което ще откриете, ако търсите в Google как да получите достъп до него, така че смятайте, че сте предупредени.
Както и да е, има „уебсайтове“, където хора, които имат начин да хакнат всеки Chromebook (само пример), могат да продадат метода на някой, който иска да наддава за него. Или човекът, който го намери, може просто да каже на Google и да му бъде платено.
Едно от тези неща може да е по-доходоносно от другото, но също така е много незаконно и не е гаранция, че ще можете да го продадете. Другото е безплатни пари от Google за забавно хакване. Програми за награди за грешки са ефективни, поради което други компании като Samsung и Meta също ги имат.
Какво мога да направя?
Не можете да направите нищо, за да намерите продукт, който никога няма да има сериозен пропуск в сигурността. Нада. Нула. Zilch. Този еднорог не съществува.
Това, което Трябва е просто да направите малко проучване, преди да добавите нещо към количката си в Amazon. Google може да ви каже за историята на компанията, когато става дума за пробиви в сигурността, и по-важното, как компанията се е справила с тях, ако се появят. Ако не сте сигурни, че дадена компания е постъпила правилно, превъртете надолу резултатите, докато не видите изследовател по сигурността, който предлага своето шумно мнение за нея. Ще намерите един или хиляда.
Мога да ви препоръчам купете продукт на Samsung. Същото важи и за Apple, Google, Microsoft, OnePlus, Nvidia, AMD, Intel и всяка друга компания, която е имала проблеми с продуктите, но ги е подредила по правилния начин.
Също така ще препоръчам някои продукти от компании, които няма да се справят с проблем по правилния начин в бъдеще, защото просто все още не се е случило. И в двата случая винаги ще ви препоръчвам да погледнете и да кажете това, което другите хора препоръчват.
Бъдете информирани и се опитайте да пазарувате умно. Държете компаниите отговорни за нещата, които са направили лошо, и възнаграждавайте компаниите за нещата, които са направили правилно. Това наистина е всичко, което можем да направим.