Terwijl Amazon is benaderd Trottoir, een poging om slimme apparaten op een "verfijnde manier" te verbinden met een mesh-wifi in de buurt met privacy in het achterhoofd, experts zijn nog steeds op hun hoede over hoe effectief dit project zal zijn vanuit een beveiliging standpunt.
Amazon kondigde vorige week aan dat klanten tot 8 juni de tijd hebben om zich af te melden voor hun nieuwste project om slimme apparaten te allen tijde verbonden te houden met behulp van een mesh wifi-systeem. Als je niet mee wilt doen, hier is hoe u zich kunt afmelden op Echo-apparaten en Ring-apparaten.
Het programma, dat oorspronkelijk in september 2019 werd aangekondigd, maakt gebruik van een gedeeld netwerk met lage bandbreedte dat zal een deel van je wifi-thuisnetwerk gebruiken om verbinding te maken met Amazon Echo-apparaten, Ring-beveiligingscamera's en verlichting, en Tegel Bluetooth-trackers. De mesh-wifi is handig wanneer uw apparaat de verbinding verliest, waarna het automatisch verbinding maakt met de wifi in de buurt via het 900Mhz-kanaal.
VPN-deals: levenslange licentie voor $ 16, maandelijkse abonnementen voor $ 1 en meer
Volgens het bedrijf whitepaper over privacy en beveiliging, was het project "zorgvuldig ontworpen" met privacybescherming in het achterhoofd, met name over hoe het metadata verzamelt, opslaat en gebruikt.
Elk gebruikersapparaat heeft bijvoorbeeld bij registratie bij het programma een "unieke sessiesleutel" met de Sidewalk Network Server (SNS) en applicatieserver. Zodra het apparaat is geïdentificeerd en deel uitmaakt van het systeem, kan de SNS een gebruiker, en maakt het "moeilijk voor iedereen, inclusief Amazon, om de activiteitengeschiedenis samen te voegen" tijd."
Informatie is verpakt in beschermingslagen, maar niets is 'nulrisico'
Bron: Amazon
Amazon merkt ook op dat informatie voor apparaten om op het netwerk te werken, zal reizen in, wat het noemt, een "pakket" dat drie lagen coderingsbescherming zal hebben. De codering wordt gedaan om "ervoor te zorgen dat gegevens alleen zichtbaar zijn voor de beoogde partij."
"Deze benadering van encryptie betekent dat Amazon de inhoud van commando's niet kan interpreteren of berichten die via Sidewalk worden verzonden door services of eindpunten (applicaties) van derden", schrijft Amazon.
John Verdi, vice-president van het Future of Privacy Forum, een door de industrie gesteunde non-profitorganisatie gevestigd in Washington, D.C., zei in een interview wat dit programma sterk maakt vanuit een privacyfront, is dat alleen Amazon-apparaten net zo goed kunnen deelnemen als vertrouwd partner. Hij voegde eraan toe dat gebruikers niet zomaar een vertrouwd apparaat aan het programma kunnen toevoegen, zoals een iPhone of de persoonlijke laptop van een gebruiker.
"Dat betekent dat Amazon de fysieke hardwareapparaten die verbinding maken met apparaten van Amazon-fabrikanten en vertrouwde partners kan beperken. Niet zomaar elk apparaat kan verbinding maken. Er is de validatie van het apparaat zelf", zei hij.
Verdi voegde er ook aan toe dat het programma niet veel gegevens zou gebruiken die normaal gesproken worden gebruikt voor het streamen van video. Sidewalk zou slechts tot 500 MB bandbreedte per maand gebruiken, een relatief klein bedrag - hoewel niet onbelangrijk voor mensen met een vaste bandbreedte.
"Het Sidewalk mesh-netwerk gebruikt [waarschijnlijk] geen bandbreedte die de online ervaring van de eigenaar wezenlijk zal beïnvloeden," zei hij.
Verdi voegde eraan toe dat er geen "voor de hand liggende of directe manier" is waarop een derde partij het systeem zou kunnen manipuleren.
"Nu is niets risicovrij. Er is altijd een kans dat een nieuwe exploit of een nieuwe methode uitgevoerd door een kwaadwillende actor aan het licht komt. Wij weten het niet. Maar als je kijkt naar de beveiligingen die er zijn, zijn het serieuze technische beveiligingen. Ze zijn niet triviaal", zei hij.
"Er is een risico met elk product, maar dat gezegd hebbende, ziet het risico er goed uit? Ja."
Whitepaper staat vol met ingewikkeld jargon
Sumit Bhatia, directeur communicatie en kennismobilisatie bij de Cybersecure Catalyst aan de Ryerson University in Toronto, zei in een interview dat Amazon's whitepaper geeft gedetailleerde informatie over beveiliging en privacy, maar gebruikt geavanceerde taal die het voor een gewoon persoon moeilijk maakt om te begrijpen hoe het systeem werken.
Bhatia zei dat hoewel dit een stap is in de richting van het bouwen van een slimme buurt of stad, er een goede framework met systemen die zijn getest voordat een grootschalig project werd geïmplementeerd zoals Amazon dat probeert Doen.
"Het feit dat zij (Amazon) dit niet in een besloten groep lanceren, maar in een heel land van mensen, spreekt tot de aanpak die ze willen volgen", zei hij. "Ze gebruiken deze massale aanpak in de VS als, naar mijn mening, een kans om gegevens te verzamelen, en veel mensen die (onderdeel van de opt-in) zijn proefkonijnen voor die gegevens, maar ten koste van potentiële bedreigingen en gevolgen die we niet weten."
En hoewel Amazon duidelijke privacyrichtlijnen heeft opgesteld, suggereert Bhatia dat dit een andere manier is voor Amazon om deze keer een gebruikersprofiel te maken door een verbonden serviceprogramma te maken.
"Amazon is erg strategisch over hoe ze dit doen, omdat ze dit doen zonder een beetje een internet te zijn serviceprovider, maar nog steeds het eigendom van een netwerk kunnen claimen waar ze gegevens van een grotere groep mensen kunnen verzamelen, "hij zei. "Dat is voor mij problematisch."
Hoe weet Amazon zonder bètatest van het programma dat het effectief is?
Rebecca Herold, CEO van Privacy Professor Consultancy en privacy-expert, was het in een interview met Bhatia eens en voegde eraan toe dat het witboek "overvloedige hoeveelheden tekst en jargon" bevat.
Ze merkt op dat ondanks dat Amazon expliciet zijn encryptiemethode beschrijft, die "zeer beschermend" is, er nog steeds problemen zijn.
"We hebben al gezien hoe je het mesh-netwerk daadwerkelijk kunt gebruiken om in principe vrij eenvoudig te decoderen met behulp van eenvoudige tools zoals configureren van IP-tabellen die apparaten vertellen om verkeer van alle Echo-apparaten of alle andere typen IoT-apparaten door te sturen naar een bepaalde volmacht. En door het naar een bepaalde proxy te sturen, kan het de Amazon Server-certificaten vervangen.
"De manier waarop het werkt, is dat die IoT-apparaten het certificaat accepteren van degene die ze als eerste beantwoordt. Ik wil gewoon rondhangen in mijn netwerk in mijn buurt hier en een manier bedenken om op te nemen mijn apparaten in het netwerk en ik zou waarschijnlijk veel van die apparaten voor de gek kunnen houden door me te vertrouwen, "ze zei.
Herold juichte toe dat Amazon ook probeert u op een efficiëntere manier te helpen uw huisdier, verloren sleutels of in sommige gevallen patiënten met dementie of de ziekte van Alzheimer te vinden. Maar het is ook zorgwekkend als je een stalker hebt, zei ze.
Net als Bhatia zei Herold dat ze bang was dat er geen bewezen bèta voor het programma was.
"Hoe hebben ze dit ding beta-tested? Hoe hebben ze er zelfs voor gezorgd dat het testen grondig was en dat het zal werken? Als je te maken hebt met nieuwe wifi-protocollen, die ze in feite hebben gemaakt, moet je ze heel grondig testen. Het lijkt niet zo, vooral in sommige van de online groepen die ik heb gevolgd waar mensen zich hebben afgemeld", zei ze.
Het programma is een overwinning voor de consument: Higginbotham
Ondanks de bedenkingen van Bhatia en Herold, Stacey Higginbotham, een technologiejournalist die zich richt op op IoT-apparaten, legt in haar laatste nieuwsbrief uit dat het algehele programma van Amazon een overwinning is voor consumenten.
"Ik ben er vast van overtuigd dat dit netwerk een algemeen voordeel zal zijn voor consumenten en ontwikkelaars, die nieuwe functies kunnen toevoegen of nieuwe, goedkopere apparaten kunnen bouwen die er gebruik van maken", schreef ze. "De privacy- en beveiligingsfuncties zijn legitiem. Nogmaals: Amazon ziet uw gegevens niet en de gegevens van de ontwikkelaars niet. Een ander ook niet. Met andere woorden, ik denk dat je moet opt-in."
Ze voegt eraan toe dat als je een 'controlefreak' bent, of iemand die goed thuis is in de beveiligingsprotocollen, maar nog steeds op zijn hoede is, ze zich misschien afmelden.
"De meesten kwamen tot de conclusie dat ze gewoon niet willen dat hun thuisnetwerk wordt gebruikt als een brug voor onbekende pakketten. Wat als die pakketten illegaal waren? Wat als de ISP dat soort gebruik niet toestaat? Ik kan niet tegen controlfreaks in, maar ik kan erop wijzen dat Apple's AirTag- en FindMy-netwerk op een vergelijkbaar principe van het gebruik van uw thuis- of mobiele gegevens om Bluetooth-locatiegegevens te delen via een ad-hoc mesh-netwerk, "ze schreef.
Heb je de Android Central Podcast van deze week al geluisterd?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hottakes, met bekende co-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneer op Spotify: Audio
- Abonneer je op iTunes: Audio
We kunnen een commissie verdienen voor aankopen met behulp van onze links. Kom meer te weten.
Jaybird houdt vast aan wat werkt en voegt wat extra's toe om de Vista 2 goed te laten klinken, goed te laten voelen en langere stukken te laten spelen. Zodra je de app aan de gang hebt met al zijn aangepaste functies, zul je deze laten klinken zoals jij ze wilt.
Met FaceTime Links lijkt het misschien alsof Apple de poorten opent voor Android-gebruikers, maar het helpt echt om de kloof tussen de twee platforms te verkleinen.
Apple liet FaceTime kort zien op een Android-apparaat en stelde zijn videobelservice open voor meer apparaten
Het is cool om een superdunne en minimale hoes te hebben die geen bulk toevoegt, maar die hoesjes bieden niet veel bescherming voor je Amazon Fire HD 10. Er zijn veel geweldige opties die ofwel zwaar zijn, ontworpen voor kinderen, of beide, zodat je Fire HD 10 alles kan weerstaan.