עוד שבוע, דיווח נוסף על מוצרים טכנולוגיים עם בעיות נוראיות באבטחה ובפרטיות. הפעם, זה של אנקר מותג Eufy של מצלמות מחוברות, אבל בשבוע הבא זה יהיה משהו אחר. לא רגע, זה כבר משהו שונה באותו שבוע מאז שמפתחות חתימת אפליקציות מיצרניות טלפונים אנדרואיד "דלפו" החוצה.
נראה שכל הדברים שלך פגומים ורק מחכים להפוך לא בטוחים לשימוש.
ברצינות. לא נוצר אי פעם מכשיר או אפליקציה מחוברים שאין בהם פגמי אבטחה או פרטיות פוטנציאליים, רק מחכה שמישהו ימצא וינצל אותם. האנשים שמתכננים ובונים מכשירים, כמו גם האנשים שכותבים את הקוד שמניע אותם אינם קסומים. הם אנשים חכמים מאוד שעובדים קשה מאוד כדי לוודא שכמה שיותר באגים ופגמים פוטנציאליים ייתפסו לפני שמוצר יוצא לשוק, אבל הם עדיין אנשים אז באגים ופגמים ימצאו דרך.
עם זאת, זו לא הסיבה האמיתית לדאגה. מכיוון שכל דבר תחת השמש ניתן לניצול בצורה כלשהי, מה שחשוב הוא מה קורה לאחר גילוי הפגמים הללו. חברות טובות מכירות באחריות שלהן ופועלות בהתאם.
פרשת הנוט 7
לא היה מוצר עם בעיות שהושקעו בו יותר מילים מאשר סמסונג גלקסי נוט 7. אמנם לא פגם תוכנה (כנראה), הייתה לה בעיה גדולה שרובנו יודעים עליה כי שמענו עליה בכל מקום - הסוללה הייתה מועדת להתפוצץ ולהתלקח. הרבה יותר מטלפונים אחרים.
אני תמיד משתמש ב-Note 7 כמקרה המבחן כשאני שוקל אם חברה עושה את הדבר הנכון עם מוצר בעייתי. אנו יכולים להניח שאף אחד בסמסונג לא ידע שיש בעיה שעלולה לגרום להתרסקות הלוהטת של ה-Galaxy Note 7 לפני שהוא יצא למכירה. אבל בסופו של דבר זה היה ברור.
המסע של סמסונג לעשות את הדבר הנכון הוא מעניין עכשיו כשהכל נגמר. בתחילה, החברה לא הודתה באשמה. הוא שלח אנשים לעזור בחקירה, ביקש לבדוק מוצרים פגומים ולתת ליחסי ציבור לטפל בבעיה. בעוד שסמסונג מעולם לא הפנתה את האצבע כלפי מישהו אחר ואמרה שאתה עושה משהו לא בסדר - המקוון צבא המגיבים של סמסונג דאג לחלק הזה - זה הרגיש כאילו הם נוטים כך ועומדים לעשות זאת אמר "אתה מחזיק בזה לא נכון."
עם זאת, בסופו של דבר, סמסונג השלימה עם הבעיה והחזירה את הטלפונים. לאחר מכן הוא הוציא אותם מחדש עם אותה בעיה בדיוק, מה שגרם לזה להיראות כאילו הם לא באמת טיפלו בשום דבר. בסופו של דבר, ה-Galaxy Note 7 הוצא מהשוק, סמסונג הציעה קרדיט לאנשים לקראת טלפון חדש, והחברה השקיעה בתוכנית חדשה לגמרי לשיפור בטיחות הסוללה עבור את כל מכשירים ניידים.
בכל פעם שזה עולה, אני אוהב להזכיר לאנשים שסמסונג סוף סוף עשתה את הדבר הנכון ויותר, אבל לקח זמן להגיע לשם. ההכפלה וההתמכרות, למרות שהם חשובים למכירות ולרווחים הגלובליים, פגעו במוניטין של סמסונג.
הידעתם שמאות סוללות לאייפון עולות באש מדי שנה? כך גם לגבי כמעט כל מותג או מוצר המשתמשים בסוללות ליתיום בעלות תאים קטנים. ו מוצרים המשתמשים בסוללות ליתיום גדולות. אם אחוז גבוה מספיק של מכשירים יתלקח, חברה אחרת תהיה באותו מצב כמו סמסונג הייתה עם הנוט 7 - והיא תבדוק איך סמסונג מטפלת בזה כדי לדעת איך, ואיך לא להמשיך.
איך לא לעשות את זה
"אנו לא מסכימים בתוקף עם ההאשמות המוטלות נגד החברה בנוגע לאבטחת המוצרים שלנו. עם זאת, אנו מבינים שייתכן שהאירועים האחרונים עוררו דאגה עבור משתמשים מסוימים. אנו בודקים ובודקים לעתים קרובות את תכונות האבטחה שלנו ומעודדים משוב מתעשיית האבטחה הרחבה יותר כדי להבטיח שאנו מטפלים בכל פרצות האבטחה האמינות. אם מזוהה פגיעות אמינה, אנו נוקטים את הפעולות הנדרשות כדי לתקן אותה. בנוסף, אנו מצייתים לכל הגופים הרגולטוריים המתאימים בשווקים שבהם המוצרים שלנו נמכרים. לבסוף, אנו ממליצים למשתמשים לפנות לצוות תמיכת הלקוחות המסור שלנו בשאלות."
זו תגובתה של Eufy לסוגיה האחרונה סביב מצלמות מעקב ברמה צרכנית. למקרה שלא ידעת, הוכח על ידי דוגמאות ממשיות ש-Eufy מאחסנת תמונות פנים לצד נתונים מזהים אישיים בענן ללא רשות. בנוסף, זה די טריוויאלי לצפות בשידור חי מכל מצלמת Eufy דרך ניצול דומה מאוד לאחרים שתמיד הטרידו את מצלמות הצרכנים. אוף.
שימו לב שהחברה לא מכחישה שיש כאן בעיה - היא רק "חולקת באופן מוחלט" על כך שיש בעיות אבטחה. זה מייצר את אותה תוצאה אך נותן לחברה יציאה כאשר (לא אם) היא צריכה לעמוד בבעיות.
זה גם גורם לחברה להיראות כמו זבל חם. אני, כמו גם אינספור אנשים עם רק מעט מיומנות במחשבים, יודעים שיש בעיה ויכולים לשחזר אותה בלי יותר מדי טרחה. הגבול עשה בדיוק את זה כדי להוכיח את זה כפול (זו מילה עכשיו).
האם עלינו להאמין ש-Eufy לא חושב שאחסון נתוני משתמשים בשרתים מרוחקים ללא רשות, או יכולת לצפות בזרם ממצלמה שבבעלותו של מישהו אחר, אינם חשש תקף? כי זה מה שאני קורא כאן.
טוב, החתולים יצאו מהשק עכשיו... אז יכול גם להגיד לך. אתה יכול להפעיל מרחוק זרם ולצפות במצלמות @EufyOfficial בשידור חי באמצעות VLC. ללא אימות, ללא הצפנה. בבקשה אל תבקש PoC - אני לא יכול לשחרר את זה. שימו לב @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25 בנובמבר 2022
ראה עוד
שיהיה ברור - הנושא השני אינו מהווה בעיה גדולה לחברה כמו הראשון. כמו שציינתי לעיל, פגמים מסוג זה קיימים ובסופו של דבר מישהו ימצא דרך לנצל אותם ו-Eufy לא לבד בהקשר הזה. החברה יכולה לזהות מה לא בסדר, לתקן את זה, לשלוח עדכון קושחה לכל המכשירים המושפעים, ולהיקרא לפעולה הנכונה. במקום זאת, זה.
הנושא השני, שבו נתונים ותמונות של זיהוי פנים נשלחים ונשמרים, הוא עוד פחית תולעים. זו או טעות בקידוד או סיבה לאסור את מצלמות Eufy. אני מאוד מאוד מקווה שזו רק טעות קידוד.
הדרך הטובה ביותר היא באמצעות פרסי באגים
הפגמים הגדולים והקריטיים ביותר, בין אם הם בתחום החומרה או בתוכנה, משפיעים על אפל, גוגל ומיקרוסופט. הסיבה לכך היא ששלוש החברות הללו שולטות כמעט בכל התוכנות במכשירי הצרכן החכמים ביותר - טלפונים, טאבלטים, ציוד לביש ומחשבים.
כאשר מתגלה פגם, שלושת הגדולים לא יכולים להרשות לעצמם לשבת בחיבוק ידיים ולדחות כי ייתכן שמיליארדי משתמשים נמצאים בסיכון ויהיו השלכות כלכליות קשות למדי. היי, מה שנדרש כדי לגרום לחברות טכנולוגיה לדאוג לאינטרסים שלנו, נכון?
דבר אחד ששלושת החברות הללו משתמשות בו הוא תוכנית באגים. זה אומר שהם ישלמו לך על מציאת פגמים במוצרים שלהם.
פרסי באגים הם הדרך הנכונה להרוויח כסף מניצול תוכנה.
לאנשים שמוצאים פגמים קריטיים יש שתי אפשרויות - לדווח עליהם כדי שניתן יהיה לתקן אותם לפני שהם הופכים לבעיה, או למכור אותם ל- ההצעה הגבוהה ביותר על "הרשת האפלה" - מונח רופף לחלק של האינטרנט שאליו אתה ניגש בדרך אחרת דרך תוֹכנָה. סביר להניח שלא תאהב הרבה ממה שתמצא אם תחפש בגוגל כיצד לגשת אליו, אז ראה את עצמך מוזהרת.
בכל מקרה, יש "אתרים" שבהם אנשים שיש להם דרך לפרוץ לכל Chromebook (רק דוגמה) יכולים למכור את השיטה למישהו שרוצה להציע עליו הצעות. או שהאדם שמוצא אותו יכול פשוט לספר לגוגל ולקבל תשלום.
אחד הדברים האלה אולי משתלם יותר מהשני, אבל זה גם מאוד לא חוקי ולא ערובה שתצליחו למכור אותו. השני הוא מזומן חינם מגוגל עבור פריצה מהנה. תוכניות באגים יעילים, וזו הסיבה שגם לחברות אחרות כמו סמסונג ומטה יש אותן.
אז מה אני יכול לעשות?
אין שום דבר שאתה יכול לעשות כדי למצוא מוצר שלעולם לא יהיה בו פגם אבטחה רציני. נאדה. אֶפֶס. זילך. החד קרן הזה לא קיים.
מה אתה צריך לעשות זה פשוט לעשות קצת מחקר לפני שאתה מוסיף משהו לעגלת אמזון שלך. גוגל יכול להגיד לך על ההיסטוריה של חברה בכל הנוגע לפרצות אבטחה, וחשוב מכך, כיצד החברה טיפלה בהן אם הן צצו. אם אינך בטוח שחברה עשתה את הדבר הנכון, גלול מטה את התוצאות עד שתראה חוקר אבטחה שמציע את דעתו הקולנית לגביה. תמצא אחד, או אלף.
אני יכול להמליץ עליך לקנות מוצר של סמסונג. אותו דבר לגבי אפל, גוגל, מיקרוסופט, OnePlus, Nvidia, AMD, אינטל וכל חברה אחרת שהיו לה כמה בעיות במוצר אבל סידרו אותן בצורה הנכונה.
אני גם אמליץ על כמה מוצרים מחברות שלא יטפלו בבעיה בצורה הנכונה בעתיד כי זה פשוט לא קרה עדיין. בשני המקרים, תמיד אמליץ לך להסתכל ולומר מה אנשים אחרים ממליצים.
היו מעודכנים ונסו לקנות חכם. תנו לחברות אחריות לדברים שהם עשו בצורה גרועה ותגמל חברות על הדברים שהם עשו נכון. זה באמת כל מה שאנחנו יכולים לעשות.