Še en teden, še eno poročilo o tehnoloških izdelkih, ki imajo strašne težave z varnostjo in zasebnostjo. Tokrat je Ankerjev Znamka povezanih kamer Eufy, naslednji teden pa bo nekaj drugega. Ne čakajte, v istem tednu je že nekaj drugega, saj so ključi za podpisovanje aplikacij izdelovalcev telefonov Android "ušli".
Videti je, da so vse vaše stvari pomanjkljive in samo čakajo, da postanejo nevarne za uporabo.
resno ni nobene povezane naprave ali aplikacije, ki ne bi imela vgrajenih morebitnih varnostnih ali zasebnostnih napak, ki samo čakajo, da jih nekdo najde in izkoristi. Ljudje, ki načrtujejo in izdelujejo naprave, pa tudi ljudje, ki pišejo kodo, ki jih poganja, niso čarobni. So zelo pametni ljudje, ki trdo delajo, da zagotovijo, da se čim več morebitnih hroščev in napak ujame, preden se izdelek izda, vendar so še vedno ljudje, zato bodo hrošči in pomanjkljivosti našli pot.
Vendar to ni pravi razlog za skrb. Ker je vse pod soncem mogoče v neki obliki izkoristiti, je pomembno, kaj se zgodi po tem, ko so te pomanjkljivosti najdene. Dobra podjetja se zavedajo svoje odgovornosti in ravnajo v skladu s tem.
Afera Note 7
Ni bilo izdelka s težavami, o katerem bi bilo porabljenega več besed kot o Samsung Galaxy Note 7. Čeprav ni bila programska napaka (verjetno), je imela veliko težavo, za katero večina od nas ve, ker smo o njej slišali povsod - baterija je bila nagnjena k eksploziji in požaru. Veliko pogosteje kot drugi telefoni.
Note 7 vedno uporabim kot testni primer, ko razmišljam, ali podjetje ravna pravilno s problematičnim izdelkom. Lahko domnevamo, da nihče pri Samsungu ni vedel, da obstaja težava, ki bi lahko povzročila ognjevito zrušitev Galaxy Note 7, preden je šel v prodajo. Na koncu je bilo vendarle očitno.
Samsungova pot do prave stvari je zdaj, ko je vsega konec, zanimiva. Podjetje sprva ni priznalo nobene krivde. Poslal je ljudi, da so pomagali pri preiskavi, prosil za pregled pokvarjenih izdelkov in pustil PR-ju, da reši težavo. Medtem ko Samsung dejansko nikoli ni pokazal s prstom na nikogar drugega in rekel, da delate nekaj narobe - na spletu Samsungova vojska komentatorjev je poskrbela za ta del – zdelo se je, kot da se nagibajo v to smer in da bodo povej "Narobe se držiš."
Sčasoma pa je Samsung priznal težavo in odpoklical telefone. Nato jih je ponovno izdal s popolnoma isto težavo, zaradi česar se je zdelo, kot da dejansko niso obravnavali ničesar. Na koncu je bil Galaxy Note 7 umaknjen s trga, Samsung je ljudem ponudil kredit za nov telefon, podjetje pa je vložilo v popolnoma nov program za izboljšanje varnosti baterije za vse mobilne naprave.
Kadarkoli pride do tega, rad spomnim ljudi, da je Samsung končno naredil pravo stvar in še več, vendar je trajalo nekaj časa, da sem prišel do tega. Čeprav je bilo to obremenjevanje in preganjanje pomembno za svetovno prodajo in dobiček, je škodovalo ugledu Samsunga.
Ali ste vedeli, da vsako leto zagori na stotine baterij iPhone? Enako velja za skoraj vse blagovne znamke ali izdelke, ki uporabljajo litijeve baterije z majhnimi celicami. in izdelki, ki uporabljajo velike litijeve baterije. Če bi zagorel dovolj visok odstotek naprav, bi bilo drugo podjetje v enakem položaju kot Samsung je bil z Note 7 - in pogledal bi, kako je Samsung z njim ravnal, da bi vedel, kako in kako ne nadaljevati.
Kako tega ne narediti
"Odločno se ne strinjamo z obtožbami proti podjetju glede varnosti naših izdelkov. Vendar se zavedamo, da so nedavni dogodki morda povzročili zaskrbljenost nekaterih uporabnikov. Pogosto pregledujemo in testiramo naše varnostne funkcije ter spodbujamo povratne informacije iz širše varnostne industrije, da zagotovimo, da obravnavamo vse verodostojne varnostne ranljivosti. Če se ugotovi verodostojna ranljivost, izvedemo potrebne ukrepe, da jo odpravimo. Poleg tega upoštevamo vse ustrezne regulativne organe na trgih, kjer se prodajajo naši izdelki. Nazadnje uporabnike spodbujamo, da se z vprašanji obrnejo na našo posebno skupino za podporo strankam."
To je Eufyjev odgovor na najnovejšo težavo v zvezi z nadzornimi kamerami potrošniškega razreda. Če niste vedeli, dejanski primeri so pokazali, da Eufy brez dovoljenja shranjuje slike obraza poleg podatkov za osebno identifikacijo v oblaku. Poleg tega je dokaj nepomembno gledati prenos v živo s katere koli kamere Eufy prek izkoriščanja, ki je zelo podobno drugim, ki so vedno pestile potrošniške kamere. Uf.
Upoštevajte, da podjetje ne zanika, da tukaj obstaja težava - le "odločno se ne strinja", da obstajajo varnostne težave. To daje enak rezultat, vendar daje podjetju izhod, ko (ne če) mora priznati, da obstajajo težave.
Zaradi tega je tudi podjetje videti kot vroče smeti. Jaz, pa tudi nešteto ljudi z le malo znanja o računalniku, vem, da obstaja težava, in bi jo lahko brez večjih težav ponovil. The Verge naredil ravno to, da bi dvakrat dokazal (to je zdaj beseda).
Ali naj verjamemo, da Eufy meni, da shranjevanje uporabniških podatkov na oddaljenih strežnikih brez dovoljenja ali možnost gledanja toka s kamere, ki jo ima nekdo drug, ni utemeljena skrb? Ker to berem tukaj.
Ah, zdaj pa mačke iz vreče... tako da vam lahko tudi povem. Pretočno predvajanje lahko začnete na daljavo in gledate kamere @EufyOfficial v živo z uporabo VLC. Brez avtentikacije, brez šifriranja. Prosim, ne zahtevajte PoC - tega ne morem izdati. Pozor @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25. november 2022
Poglej več
Da bo jasno – drugo vprašanje za podjetje ni tolikšna težava kot prvo. Kot sem omenil zgoraj, tovrstne pomanjkljivosti obstajajo in sčasoma bo nekdo našel način, kako jih izkoristiti, in Eufy v tem pogledu ni edini. Podjetje bi lahko ugotovilo, kaj je narobe, to popravilo, poslalo posodobitev vdelane programske opreme vsem prizadetim napravam in bilo pozvano, da naredi pravo stvar. Namesto tega, to.
Druga težava, pri kateri se podatki in slike za prepoznavanje obraza pošiljajo in hranijo, je še ena pločevinka črvov. To je bodisi napaka pri kodiranju bodisi razlog za prepoved kamer Eufy. Resnično upam, da je samo napaka pri kodiranju.
Najboljši način so nagrade za hrošče
Največje in najbolj kritične napake, bodisi v strojni ali programski opremi, prizadenejo Apple, Google in Microsoft. To je zato, ker ta tri podjetja nadzorujejo skoraj vso programsko opremo na najpametnejših potrošniških napravah – telefonih, tablicah, nosljivih napravah in računalnikih.
Ko pride do napake, si veliki trije ne morejo privoščiti, da bi sedeli križem rok in odlašali, ker so potencialno ogrožene milijarde uporabnikov in bi to imelo precej resne finančne posledice. Hej, karkoli je potrebno, da tehnološka podjetja poskrbijo za naše najboljše interese, kajne?
Ena stvar, ki jo ta tri podjetja uporabljajo, je program za nagrado za napake. To pomeni, da vam bodo plačali za iskanje napak v njihovih izdelkih.
Nagrade za napake so pravi način za zaslužek z izkoriščanjem programske opreme.
Ljudje, ki odkrijejo kritične pomanjkljivosti, imajo dve možnosti - prijaviti jih, da jih je mogoče popraviti, preden postanejo problem, ali jih prodati najvišji ponudnik na "temnem spletu" - ohlapen izraz za del interneta, do katerega dostopate na drugačen način prek različnih programsko opremo. Verjetno vam ne bi bilo všeč veliko tega, kar najdete, če poiščete Google, kako dostopati do tega, zato upoštevajte, da ste opozorjeni.
Kakor koli že, obstajajo »spletna mesta«, kjer lahko ljudje, ki znajo vdreti v vsak Chromebook (samo primer), to metodo prodajo nekomu, ki želi zanjo ponuditi ponudbo. Lahko pa oseba, ki jo najde, preprosto pove Googlu in prejme plačilo.
Ena od teh stvari je morda bolj donosna od druge, vendar je tudi zelo nezakonita in ni zagotovilo, da jo boste lahko prodali. Drugi je brezplačen denar od Googla za zabavno hekanje. Programi za nagrado za napake so učinkoviti, zato jih imajo tudi druga podjetja, kot sta Samsung in Meta.
Torej, kaj lahko storim?
Ničesar ne morete storiti, da bi našli izdelek, ki nikoli ne bo imel resne varnostne napake. Nada. Nič. Zilch. Ta samorog ne obstaja.
Kaj ti naj naredite le malo raziskav, preden kaj dodate v svoj Amazonov voziček. Google vam lahko pove o zgodovini podjetja, ko gre za kršitve varnosti, in še pomembneje, kako je podjetje ravnalo z njimi, če so se pojavile. Če niste prepričani, da je podjetje ravnalo prav, se pomaknite navzdol po rezultatih, dokler ne vidite varnostnega raziskovalca, ki ponuja svoje glasno mnenje o tem. Našli boste enega ali tisoč.
Lahko te priporočim kupite izdelek Samsung. Enako velja za Apple, Google, Microsoft, OnePlus, Nvidia, AMD, Intel in vsa druga podjetja, ki so imela nekaj težav z izdelki, a so jih rešila na pravi način.
Priporočil bom tudi nekaj izdelkov podjetij, ki v prihodnosti ne bodo rešila težave na pravi način, ker se to preprosto še ni zgodilo. V obeh primerih vam bom vedno priporočil, da pogledate in poveste, kar priporočajo drugi.
Bodite informirani in poskušajte nakupovati pametno. Imejte podjetja odgovorna za stvari, ki so jih naredila slabo, in nagradite podjetja za stvari, ki so jih naredila prav. To je res vse, kar lahko naredimo.