Еще одна неделя, еще один отчет о технических продуктах, имеющих ужасные проблемы с безопасностью и конфиденциальностью. На этот раз это Анкер. Бренд подключаемых камер Eufy, но на следующей неделе будет что-то другое. Нет, подождите, это уже что-то другое на той же неделе, так как ключи подписи приложений от производителей телефонов Android «просочились».
Похоже, все ваши вещи имеют недостатки и просто ждут, когда станут небезопасными для использования.
Серьезно. нет ни одного подключенного устройства или приложения, которое не имело бы встроенных потенциальных недостатков безопасности или конфиденциальности, просто ожидающих, пока кто-то их найдет и воспользуется. Люди, которые проектируют и создают устройства, а также люди, которые пишут код, который приводит их в действие, не являются волшебниками. Это очень умные люди, которые очень много работают, чтобы убедиться, что многие потенциальные ошибки и недостатки будут обнаружены до того, как продукт будет выпущен, но они все еще люди, поэтому ошибки и недостатки найдут выход.
Однако это не настоящая причина для беспокойства. Поскольку все на свете можно использовать в той или иной форме, важно то, что произойдет после того, как эти недостатки будут обнаружены. Хорошие компании осознают свою ответственность и действуют соответственно.
Дело Note 7
Не было продукта с проблемами, на который было бы потрачено больше слов, чем на Самсунг Галакси Примечание 7. Хотя это и не было ошибкой программного обеспечения (вероятно), у него была серьезная проблема, о которой большинство из нас знает, потому что мы слышали об этом повсюду — батарея была склонна к взрыву и возгоранию. Гораздо чаще, чем другие телефоны.
Я всегда использую Note 7 в качестве тестового примера, когда проверяю, правильно ли компания поступает с проблемным продуктом. Мы можем предположить, что никто в Samsung не знал о проблеме, которая может привести к аварийному завершению работы Galaxy Note 7 до того, как он поступит в продажу. Хотя в конце концов это было очевидно.
Путь Samsung к тому, чтобы поступать правильно, интересен теперь, когда все закончилось. Сначала компания не признала свою вину. Она отправила людей для помощи в расследовании, попросила дефектные продукты проверить, а отдел по связям с общественностью решил проблему. В то время как Samsung на самом деле никогда не указывала пальцем на кого-либо еще и не говорила, что вы делаете что-то не так, онлайн Армия комментаторов Samsung позаботилась об этой части — казалось, что они склоняются к этому и вот-вот сказать "Вы держите это неправильно."
В конце концов, Samsung признала проблему и отозвала телефоны. Затем он перевыпустил их с точно такой же проблемой, из-за чего казалось, что они на самом деле ничего не решают. В конце концов, Galaxy Note 7 был снят с рынка, Samsung предложил людям кредит на новый телефон, и компания инвестировала в совершенно новую программу по повышению безопасности батареи для все мобильные устройства.
Всякий раз, когда это всплывает, мне нравится напоминать людям, что Samsung, наконец, поступила правильно и даже больше, но потребовалось время, чтобы добиться этого. Эти махинации, хотя и важные для глобальных продаж и прибыли, нанесли ущерб репутации Samsung.
Знаете ли вы, что ежегодно загораются сотни аккумуляторов iPhone? То же самое касается почти любого бренда или продукта, в котором используются литиевые батареи с малыми ячейками. И продукты, которые используют большие литиевые батареи. Если загорится достаточно высокий процент устройств, другая компания окажется в той же ситуации, что и Samsung был с Note 7 — и он будет смотреть, как Samsung справится с этим, чтобы узнать, как, а как нет, чтобы продолжить.
Как этого не делать
"Мы категорически не согласны с обвинениями, выдвинутыми против компании в отношении безопасности наших продуктов. Однако мы понимаем, что недавние события могли вызвать беспокойство у некоторых пользователей. Мы часто пересматриваем и тестируем наши функции безопасности и поощряем обратную связь от более широкой индустрии безопасности, чтобы убедиться, что мы устраняем все заслуживающие доверия уязвимости безопасности. Если обнаружена заслуживающая доверия уязвимость, мы предпринимаем необходимые действия для ее устранения. Кроме того, мы соблюдаем требования всех соответствующих регулирующих органов на рынках, где продается наша продукция. Наконец, мы рекомендуем пользователям обращаться в нашу специальную службу поддержки клиентов с вопросами.."
Это ответ Eufy на последнюю проблему, связанную с камерами наблюдения потребительского уровня. Если вы не знали, на реальных примерах было показано, что Eufy хранит изображения лиц вместе с данными, позволяющими идентифицировать личность, в облаке без разрешения. Кроме того, довольно просто смотреть прямую трансляцию с любой камеры Eufy с помощью эксплойта, очень похожего на другие, которые всегда мешали потребительским камерам. Уф.
Обратите внимание, что компания не отрицает наличия здесь проблемы — она лишь «категорически не соглашается» с наличием проблем с безопасностью. Это приводит к тому же результату, но дает компании выход, когда (а не если) она должна признать наличие проблем.
Это также делает компанию похожей на горячий мусор. Я, а также бесчисленное множество людей, хоть немного разбирающихся в компьютерах, знаю, что проблема существует, и могу воспроизвести ее без особых хлопот. Грань сделал это только для того, чтобы дважды доказать (теперь это слово).
Должны ли мы верить, что Eufy не думает, что хранение пользовательских данных на удаленных серверах без разрешения или возможность просмотра потока с камеры, которой владеет кто-то другой, не является серьезной проблемой? Потому что это то, что я читаю здесь.
Ну, теперь коты из мешка... так что может также сказать вам. Вы можете удаленно запустить поток и смотреть камеры @EufyOfficial в прямом эфире с помощью VLC. Нет аутентификации, нет шифрования. Пожалуйста, не просите PoC — я не могу опубликовать это. Внимание @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25 ноября 2022 г.
Узнать больше
Чтобы было ясно — вторая проблема не такая большая проблема для компании, как первая. Как я упоминал выше, такого рода недостатки существуют, и в конце концов кто-то найдет способ их использовать, и Eufy не одинок в этом отношении. Компания могла бы определить, что не так, исправить это, разослать обновление прошивки на все затронутые устройства и быть вызванной за правильное действие. Вместо этого.
Другая проблема, связанная с отправкой и сохранением данных и изображений распознавания лиц, — еще одна проблема. Это либо ошибка кодирования, либо причина запрета камер Eufy. Я очень, очень надеюсь, что это просто ошибка кодирования.
Лучший способ — через Bug Bounty
Крупнейшие и наиболее критические недостатки, будь то аппаратное или программное обеспечение, затрагивают Apple, Google и Microsoft. Это потому, что эти три компании контролируют почти все программное обеспечение на самых умных потребительских устройствах — телефонах, планшетах, носимых устройствах и компьютерах.
Когда обнаруживается недостаток, большая тройка не может позволить себе сидеть сложа руки и откладывать на потом, потому что потенциально миллиарды пользователей находятся в опасности, и это может привести к довольно серьезным финансовым последствиям. Эй, чего бы это ни стоило, чтобы технологические компании заботились о наших интересах, верно?
Одна вещь, которую используют эти три компании, — это программа вознаграждения за обнаружение ошибок. Это означает, что они будут платить вам за обнаружение недостатков в их продуктах.
Bug bounty — это правильный способ заработать на программном эксплойте.
У людей, обнаруживших критические недостатки, есть два варианта: сообщить о них, чтобы их можно было исправить до того, как они станут проблемой, или продать их участник, предлагающий самую высокую цену в «темной паутине» — расплывчатый термин для той части интернета, к которой вы получаете доступ другим способом через разные программное обеспечение. Вам, вероятно, не понравится многое из того, что вы найдете, если вы погуглите, как получить к нему доступ, так что считайте себя предупрежденными.
Во всяком случае, есть «веб-сайты», где люди, у которых есть способ взломать каждый Chromebook (просто пример), могут продать этот метод тому, кто хочет сделать ставку на него. Или человек, который найдет его, может просто сообщить об этом Google и получить деньги.
Одна из этих вещей может быть более прибыльной, чем другая, но она также очень незаконна и не гарантирует, что вы сможете ее продать. Другой — бесплатные деньги от Google за забавный взлом. Программы вознаграждения за ошибки эффективны, поэтому они есть и у других компаний, таких как Samsung и Meta.
Так что я могу сделать?
Вы ничего не можете сделать, чтобы найти продукт, который никогда не будет иметь серьезных недостатков безопасности. Нада. Нуль. пшик. Этого единорога не существует.
Что ты должен нужно просто провести небольшое исследование, прежде чем добавить что-то в корзину Amazon. Гугл может подсказать об истории компании, когда речь идет о нарушениях безопасности, и, что более важно, о том, как компания справлялась с ними, если они всплывали. Если вы не уверены, что компания поступила правильно, прокрутите результаты вниз, пока не увидите исследователя безопасности, высказывающего свое громкое мнение по этому поводу. Вы найдете один или тысячу.
я могу порекомендовать вас купить продукт самсунг. То же самое касается Apple, Google, Microsoft, OnePlus, Nvidia, AMD, Intel и любой другой компании, у которой были какие-то проблемы с продуктом, но они решили их правильно.
Я также порекомендую некоторые продукты от компаний, которые не будут правильно решать проблему в будущем, потому что она еще не произошла. В обоих случаях я всегда буду рекомендовать вам посмотреть и сказать, что рекомендуют другие люди.
Будьте в курсе и старайтесь делать покупки с умом. Привлекайте компании к ответственности за то, что они сделали плохо, и вознаграждайте компании за то, что они сделали правильно. Это действительно все, что мы можем сделать.