Još jedan tjedan, još jedno izvješće o tehnološkim proizvodima koji imaju strašne probleme sa sigurnošću i privatnošću. Ovaj put je Ankerov Marka povezanih kamera Eufy, ali sljedeći tjedan će biti nešto drugačije. Ne čekajte, već je nešto drugačije u istom tjednu otkako su "procurili" ključevi za potpisivanje aplikacija od proizvođača Android telefona.
Čini se da sve vaše stvari imaju manjkavosti i samo čekaju da postanu nesigurne za korištenje.
Ozbiljno. ne postoji niti jedan povezani uređaj ili aplikacija ikada napravljena koja nema ugrađene moguće pogreške u sigurnosti ili privatnosti, samo čekajući da ih netko pronađe i iskoristi. Ljudi koji dizajniraju i izrađuju uređaje, kao i ljudi koji pišu kod koji ih pokreće nisu čarobni. Oni su vrlo pametni ljudi koji naporno rade kako bi osigurali da se otkrije što više potencijalnih grešaka i nedostataka prije nego se proizvod pusti u promet, ali oni su još uvijek ljudi pa će greške i nedostaci pronaći način.
No, to nije pravi razlog za zabrinutost. Budući da se sve pod suncem može iskoristiti u nekom obliku, važno je što se događa nakon što se ti nedostaci pronađu. Dobre tvrtke prepoznaju svoju odgovornost i ponašaju se u skladu s tim.
Afera Note 7
Ne postoji proizvod s problemima o kojem se govori više nego o Samsung Galaxy Note 7. Iako nije softverski nedostatak (vjerojatno), imao je veliki problem za koji većina nas zna jer smo o njemu čuli posvuda — baterija je bila sklona eksplodiranju i zapaljenju. Mnogo češće od ostalih telefona.
Uvijek koristim Note 7 kao testni slučaj kada razmatram radi li tvrtka pravu stvar s problematičnim proizvodom. Možemo pretpostaviti da nitko u Samsungu nije znao da postoji problem koji bi mogao dovesti do žestokog pada Galaxy Note 7 prije nego što je pušten u prodaju. Na kraju je ipak bilo očito.
Samsungov put do prave stvari zanimljiv je sad kad je sve gotovo. U početku tvrtka nije priznala nikakvu krivnju. Poslao je ljude da pomognu u istrazi, tražio da pregledaju neispravne proizvode i dopustio PR-u da riješi problem. Dok Samsung zapravo nikada nije uperio prst u bilo koga drugoga i rekao da radite nešto krivo - na mreži Vojska Samsungovih komentatora pobrinula se za taj dio — činilo se kao da se naginju u tom smjeru i da će to učiniti reci "Krivo držiš."
Ipak, na kraju je Samsung shvatio problem i opozvao telefone. Zatim ih je ponovno pustio u javnost s točno istim problemom, zbog čega se činilo da zapravo nisu ništa riješili. Na kraju je Galaxy Note 7 povučen s tržišta, Samsung je ljudima ponudio kredit za novi telefon, a tvrtka je uložila u potpuno novi program za poboljšanje sigurnosti baterije za svi Mobilni uredaji.
Kad god se to pojavi, volim podsjetiti ljude da je Samsung konačno učinio pravu stvar i više od toga, ali trebalo je vremena da dođe do toga. To podmetanje, iako važno za globalnu prodaju i profit, naštetilo je ugledu Samsunga.
Jeste li znali da se stotine iPhone baterija zapali svake godine? Isto vrijedi za gotovo sve robne marke ili proizvode koji koriste litijske baterije malih ćelija. I proizvodi koji koriste velike litijske baterije. Ako bi se dovoljno visok postotak uređaja zapalio, druga bi tvrtka bila u istoj situaciji kao Samsung je bio s Note 7 - i pogledat će kako je Samsung to postupio da bi znao kako, a kako ne nastaviti.
Kako to ne učiniti
"Izričito se ne slažemo s optužbama koje se protiv tvrtke odnose na sigurnost naših proizvoda. Međutim, razumijemo da su nedavni događaji mogli izazvati zabrinutost kod nekih korisnika. Često pregledavamo i testiramo naše sigurnosne značajke i potičemo povratne informacije od šire sigurnosne industrije kako bismo osigurali da rješavamo sve vjerodostojne sigurnosne propuste. Ako se identificira vjerodostojna ranjivost, poduzimamo potrebne radnje da je ispravimo. Osim toga, pridržavamo se svih odgovarajućih regulatornih tijela na tržištima na kojima se prodaju naši proizvodi. Na kraju, potičemo korisnike da se s pitanjima obrate našem timu za korisničku podršku."
To je Eufyjev odgovor na najnoviji problem oko nadzornih kamera za potrošače. Ako niste znali, stvarni primjeri pokazuju da Eufy pohranjuje slike lica uz osobne podatke u oblaku bez dopuštenja. Osim toga, prilično je trivijalno gledati prijenos uživo s bilo koje Eufy kamere putem eksploatacije vrlo slične ostalima koje su uvijek mučile potrošačke kamere. Uf.
Primijetite da tvrtka ne poriče da ovdje postoji problem — samo se "odlučno ne slaže" da postoje sigurnosni problemi. Ovo daje isti rezultat, ali daje tvrtki izlaz kada (ne ako) mora priznati da postoje problemi.
Također čini da tvrtka izgleda kao vruće smeće. Ja, kao i bezbrojni ljudi s tek malo znanja o računalu, znam da postoji problem i mogu ga reproducirati bez previše muke. The Verge učinio upravo to kako bi dvostruko dokazao (to je sada riječ).
Trebamo li vjerovati da Eufy ne misli da pohranjivanje korisničkih podataka na udaljene poslužitelje bez dopuštenja ili mogućnost gledanja streama s kamere koju posjeduje netko drugi nije opravdana briga? Jer to je ono što ovdje čitam.
Ah dobro, mačke sad iz vreće... pa vam mogu i reći. Možete daljinski pokrenuti stream i gledati @EufyOfficial kamere uživo koristeći VLC. Nema provjere autentičnosti, nema šifriranja. Molim vas, nemojte tražiti PoC - ne mogu ga objaviti. Pažnja @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25. studenog 2022
Vidi više
Da budemo jasni — drugo pitanje nije toliki problem za tvrtku kao prvo. Kao što sam već spomenuo, takve vrste nedostataka postoje i na kraju će netko pronaći način da ih iskoristi, a Eufy nije jedini u tom pogledu. Tvrtka bi mogla identificirati što nije u redu, popraviti to, poslati ažuriranje firmvera svim pogođenim uređajima i biti prozvana da radi pravu stvar. Umjesto toga, ovo.
Drugi problem, gdje se podaci o prepoznavanju lica i slike šalju i zadržavaju, još je jedna konzerva crva. To je ili pogreška kodiranja ili razlog za zabranu Eufy kamera. Stvarno se nadam da je to samo pogreška kodiranja.
Najbolji način je kroz nagrade za bugove
Najveći i najkritičniji nedostaci, bilo da se radi o hardverskom prostoru ili softveru, pogađaju Apple, Google i Microsoft. To je zato što ove tri tvrtke kontroliraju gotovo sav softver na najpametnijim potrošačkim uređajima — telefonima, tabletima, nosivim uređajima i računalima.
Kada nedostatak izađe na vidjelo, velika trojica si ne mogu priuštiti sjediti skrštenih ruku i odugovlačiti jer potencijalno, milijarde korisnika su u opasnosti i došlo bi do prilično ozbiljnih financijskih posljedica. Hej, što god je potrebno da tehnološke tvrtke paze na naše najbolje interese, zar ne?
Jedna stvar koju ove tri tvrtke koriste je bug bounty program. To znači da će vam platiti za pronalaženje nedostataka u njihovim proizvodima.
Nagrade za bugove pravi su način za zaradu od iskorištavanja softvera.
Ljudi koji pronađu kritične nedostatke imaju dva izbora — prijaviti ih kako bi se mogli popraviti prije nego što postanu problem ili ih prodati najvišu ponudu na "mračnom webu" — labav izraz za dio interneta kojem pristupate na drugačiji način putem različitih softver. Vjerojatno vam se ne bi svidjelo mnogo od onoga što pronađete ako guglate kako tomu pristupiti, pa smatrajte da ste upozoreni.
U svakom slučaju, postoje "web stranice" na kojima ljudi koji imaju način hakiranja svakog Chromebooka (samo primjer) mogu prodati metodu nekome tko želi licitirati za nju. Ili osoba koja to pronađe može jednostavno reći Googleu i biti plaćena.
Jedna od ovih stvari može biti unosnija od druge, ali je također vrlo nezakonita i nije jamstvo da ćete je moći prodati. Drugi je besplatna gotovina od Googlea za zabavno hakiranje. Bug bounty programi su učinkoviti, zbog čega ih imaju i druge tvrtke poput Samsunga i Mete.
Dakle, što mogu učiniti?
Ne možete učiniti ništa da pronađete proizvod koji nikada neće imati ozbiljan sigurnosni propust. Nada. Nula. Zilch. Taj jednorog ne postoji.
Što ti trebao bi učiniti je samo malo istražiti prije nego nešto dodate u svoju Amazon košaricu. Google vam može reći o povijesti tvrtke kada je riječ o sigurnosnim upadima, i još važnije, kako je tvrtka postupala s njima ako su se pojavila. Ako niste sigurni da je tvrtka učinila pravu stvar, pomaknite se niz rezultate dok ne vidite sigurnosnog istraživača koji nudi svoje glasno mišljenje o tome. Naći ćete jednog ili tisuću.
Mogu vas preporučiti kupiti Samsung proizvod. Isto vrijedi i za Apple, Google, Microsoft, OnePlus, Nvidiju, AMD, Intel i sve druge tvrtke koje su imale problema s proizvodima, ali su ih riješile na pravi način.
Također ću preporučiti neke proizvode tvrtki koje u budućnosti neće rješavati probleme na pravi način jer se to jednostavno još nije dogodilo. U oba slučaja, uvijek ću vam preporučiti da pogledate i kažete ono što drugi ljudi preporučuju.
Informirajte se i pokušajte kupovati pametno. Držite tvrtke odgovornima za stvari koje su učinile loše i nagradite tvrtke za stvari koje su učinile dobro. To je zapravo sve što možemo učiniti.