Kolejny tydzień, kolejny raport o produktach technologicznych mających straszne problemy z bezpieczeństwem i prywatnością. Tym razem należy do Ankera Eufy marka podłączonych kamer, ale za tydzień będzie coś innego. Nie, czekaj, to już coś innego w tym samym tygodniu, odkąd klucze do podpisywania aplikacji od producentów telefonów z Androidem „wyciekły”.
Wygląda na to, że wszystkie Twoje rzeczy są wadliwe i tylko czekają, aż staną się niebezpieczne w użyciu.
Poważnie. nie ma podłączonego urządzenia ani aplikacji, które nie miałyby wbudowanych potencjalnych luk w zabezpieczeniach lub prywatności, tylko czekających, aż ktoś je znajdzie i wykorzysta. Ludzie, którzy projektują i budują urządzenia, a także ludzie, którzy piszą kod, który je napędza, nie są magiczni. To bardzo inteligentni ludzie, którzy bardzo ciężko pracują, aby upewnić się, że jak najwięcej potencjalnych błędów i wad zostanie wykrytych przed wydaniem produktu, ale nadal są ludźmi, więc błędy i wady znajdą sposób.
To jednak nie jest prawdziwy powód do niepokoju. Ponieważ wszystko pod słońcem można wykorzystać w jakiejś formie, ważne jest, co stanie się po znalezieniu tych wad. Dobre firmy uznają swoją odpowiedzialność i odpowiednio postępują.
Sprawa Note'a 7
Nie było produktu z problemami, któremu poświęcono więcej słów niż Samsunga Galaxy Note 7. Chociaż nie była to wada oprogramowania (prawdopodobnie), miała poważny problem, o którym większość z nas wie, ponieważ słyszeliśmy o tym wszędzie — bateria była podatna na eksplozję i zapalenie się. Znacznie częściej niż inne telefony.
Zawsze używam Note 7 jako przypadku testowego, gdy zastanawiam się, czy firma postępuje właściwie z problematycznym produktem. Możemy założyć, że nikt w Samsungu nie wiedział, że istnieje problem, który mógł spowodować ognistą awarię Galaxy Note 7, zanim trafił do sprzedaży. W końcu było to jednak oczywiste.
Podróż Samsunga do robienia właściwych rzeczy jest interesująca teraz, gdy to wszystko się skończyło. Początkowo firma nie przyznała się do winy. Wysłała ludzi do pomocy w zbadaniu sprawy, poprosiła o przejrzenie wadliwych produktów i pozwoliła działowi PR zająć się problemem. Podczas gdy Samsung nigdy nie wskazał palcem na nikogo innego i nie powiedział, że robisz coś złego - online Armia komentatorów Samsunga zadbała o tę część — wydawało się, że pochylają się w tę stronę i zamierzają to zrobić mowić "Źle to trzymasz."
W końcu jednak Samsung przyznał się do problemu i wycofał telefony. Następnie ponownie wydał je z dokładnie tym samym problemem, co sprawiało wrażenie, że tak naprawdę niczego nie rozwiązali. W końcu Galaxy Note 7 został wycofany z rynku, Samsung zaoferował ludziom kredyt na nowy telefon, a firma zainwestowała w zupełnie nowy program poprawy bezpieczeństwa baterii dla Wszystko urządzenia mobilne.
Ilekroć to się pojawia, lubię przypominać ludziom, że Samsung w końcu zrobił właściwą rzecz i zrobił coś więcej, ale dotarcie do tego zajęło trochę czasu. To owijanie w bawełnę, choć ważne dla globalnej sprzedaży i zysków, zaszkodziło reputacji Samsunga.
Czy wiesz, że każdego roku setki baterii iPhone'a zapalają się? To samo dotyczy prawie każdej marki lub produktu, który wykorzystuje małoogniwowe baterie litowe. I produktów wykorzystujących duże baterie litowe. Gdyby wystarczająco wysoki odsetek urządzeń się zapalił, inna firma znalazłaby się w takiej samej sytuacji Samsung był z Note 7 – i przyjrzałby się, jak Samsung sobie z tym poradził, aby wiedzieć, jak, a jak nie przystępować.
Jak tego nie robić
"Stanowczo nie zgadzamy się z zarzutami pod adresem firmy dotyczącymi bezpieczeństwa naszych produktów. Rozumiemy jednak, że ostatnie wydarzenia mogły zaniepokoić niektórych użytkowników. Często przeglądamy i testujemy nasze funkcje bezpieczeństwa i zachęcamy do wyrażania opinii z szerszej branży bezpieczeństwa, aby upewnić się, że usuwamy wszystkie wiarygodne luki w zabezpieczeniach. W przypadku zidentyfikowania wiarygodnej luki w zabezpieczeniach podejmujemy niezbędne działania w celu jej usunięcia. Ponadto przestrzegamy wszystkich odpowiednich organów regulacyjnych na rynkach, na których sprzedawane są nasze produkty. Na koniec zachęcamy użytkowników do kontaktowania się z naszym dedykowanym zespołem obsługi klienta w celu zadawania pytań."
To odpowiedź Eufy na najnowszy problem związany z kamerami monitorującymi klasy konsumenckiej. Jeśli nie wiesz, rzeczywiste przykłady pokazują, że Eufy przechowuje w chmurze obrazy twarzy wraz z danymi osobowymi bez pozwolenia. Ponadto oglądanie transmisji na żywo z dowolnej kamery Eufy za pomocą exploita bardzo podobnego do innych, które zawsze nękały aparaty konsumenckie, jest dość trywialne. Uff.
Zauważ, że firma nie zaprzecza, że jest tu problem — tylko „stanowczo się nie zgadza”, że istnieją problemy z bezpieczeństwem. Daje to ten sam wynik, ale daje firmie wyjście, kiedy (nie jeśli) musi przyznać się do problemów.
Sprawia to również, że firma wygląda jak gorące śmieci. Zarówno ja, jak i niezliczona liczba osób z odrobiną obeznania z komputerem wiemy, że istnieje problem i możemy go odtworzyć bez większych problemów. Krawędź zrobił to tylko po to, aby podwójnie to udowodnić (to jest teraz takie słowo).
Czy mamy uwierzyć, że Eufy uważa, że przechowywanie danych użytkownika na zdalnych serwerach bez pozwolenia lub możliwość oglądania transmisji z kamery, której właścicielem jest ktoś inny, nie jest uzasadnionym problemem? Bo to właśnie tutaj czytam.
No cóż, koty wychodzą teraz z worka... więc równie dobrze może ci powiedzieć. Możesz zdalnie rozpocząć transmisję i oglądać na żywo kamery @EufyOfficial za pomocą VLC. Bez uwierzytelniania, bez szyfrowania. Proszę nie pytać o PoC - nie mogę tego wydać. Uwaga @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25 listopada 2022 r
Zobacz więcej
Żeby było jasne — druga kwestia nie jest dla firmy takim problemem jak pierwsza. Jak wspomniałem powyżej, tego rodzaju wady istnieją iw końcu ktoś znajdzie sposób, aby je wykorzystać, a Eufy nie jest w tym odosobniony. Firma może zidentyfikować, co jest nie tak, naprawić to, wysłać aktualizację oprogramowania układowego do wszystkich urządzeń, których dotyczy problem, i zostać wezwana do właściwego postępowania. Zamiast tego.
Innym problemem, w którym dane i obrazy rozpoznawania twarzy są wysyłane i przechowywane, jest kolejna puszka robaków. To albo błąd w kodowaniu, albo powód do zbanowania aparatów Eufy. Naprawdę mam nadzieję, że to tylko błąd w kodzie.
Najlepszym sposobem są nagrody za błędy
Największe i najbardziej krytyczne wady, czy to w przestrzeni sprzętowej, czy w oprogramowaniu, dotyczą Apple, Google i Microsoft. To dlatego, że te trzy firmy kontrolują prawie całe oprogramowanie na najmądrzejszych urządzeniach konsumenckich — telefonach, tabletach, urządzeniach do noszenia i komputerach.
Kiedy wada wychodzi na jaw, wielka trójka nie może sobie pozwolić na siedzenie bezczynnie i zwlekanie, ponieważ potencjalnie miliardy użytkowników są zagrożone, a konsekwencje finansowe mogą być dość poważne. Hej, cokolwiek trzeba, aby firmy technologiczne dbały o nasze najlepsze interesy, prawda?
Jedną z rzeczy, z których korzystają te trzy firmy, jest program bug bounty. Oznacza to, że zapłacą ci za znalezienie wad w ich produktach.
Nagrody za błędy to właściwy sposób na zarabianie pieniędzy na wykorzystaniu oprogramowania.
Ludzie, którzy znajdą krytyczne wady, mają dwie możliwości — zgłosić je, aby można je było naprawić, zanim staną się problemem, lub sprzedać je licytant, który zaoferował najwyższą cenę w „ciemnej sieci” — luźny termin określający część internetu, do której uzyskuje się dostęp w inny sposób za pośrednictwem różnych oprogramowanie. Prawdopodobnie nie spodobałoby ci się wiele z tego, co znajdziesz, jeśli skorzystasz z Google, jak uzyskać do niego dostęp, więc uważaj się za ostrzeżonego.
W każdym razie istnieją „strony internetowe”, na których ludzie, którzy mają sposób na zhakowanie każdego Chromebooka (tylko przykład), mogą sprzedać tę metodę komuś, kto chce go licytować. Lub osoba, która go znajdzie, może po prostu powiedzieć Google i otrzymać zapłatę.
Jedna z tych rzeczy może być bardziej lukratywna niż druga, ale jest również bardzo nielegalna i nie gwarantuje, że będziesz mógł ją sprzedać. Druga to darmowa gotówka od Google za zabawę w hakowanie. Programy nagród za błędy są skuteczne, dlatego też mają je inne firmy, takie jak Samsung i Meta.
Więc co mogę zrobić?
Nic nie możesz zrobić, aby znaleźć produkt, który nigdy nie będzie miał poważnej luki w zabezpieczeniach. Nada. Zero. Zilch. Ten jednorożec nie istnieje.
Co ty powinien zrobić, to po prostu zrobić trochę badań, zanim dodasz coś do koszyka Amazon. Google może ci powiedzieć o historii firmy, jeśli chodzi o naruszenia bezpieczeństwa, a co ważniejsze, jak firma sobie z nimi poradziła, jeśli się pojawiły. Jeśli nie masz pewności, czy firma postąpiła właściwie, przewiń wyniki, aż zobaczysz badacza bezpieczeństwa oferującego swoją głośną opinię na ten temat. Znajdziesz jednego lub tysiąc.
Mogę cię polecić kup produkt Samsunga. To samo dotyczy Apple, Google, Microsoft, OnePlus, Nvidia, AMD, Intel i każdej innej firmy, która miała problemy z produktami, ale rozwiązała je we właściwy sposób.
Polecę również produkty firm, które w przyszłości nie poradzą sobie z problemem we właściwy sposób, ponieważ po prostu jeszcze się to nie wydarzyło. W obu przypadkach zawsze będę polecał spojrzeć i powiedzieć, co polecają inni.
Bądź na bieżąco i staraj się robić zakupy mądrze. Pociągaj firmy do odpowiedzialności za rzeczy, które zrobiły źle i nagradzaj firmy za rzeczy, które zrobiły dobrze. To naprawdę wszystko, co możemy zrobić.