Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
FTC: pracownicy RING mieli dostęp do nagrań z kamer klientów. A zhackowane kamery były wykorzystywane do przez hackerów nawet do fizycznego grożenia klientom.
Masz kamerkę składującą informacje w cloudzie, więc w sumie wygodnie, możesz zobaczyć z poziomu smartfona co tam ciekawego działo się w domu/mieszkaniu. Nie trzeba też backupów. Wszystko OK, ale pytanie czy pracownicy danej firmy nie uzyskują dostępu do nagrań z kamer?
FTC właśnie podniosło ten problem w przypadku RINGa (wykupionego jakiś czas przez Amazon). Jak czytamy w ~pozwie:
the FTC says Ring deceived its customers by failing to restrict employees’ and contractors’ access to its customers’ videos, using customer videos to train algorithms, among other purposes, without consent, and failing to implement security safeguards.
I dalej:
Even after Ring imposed restrictions on who could access customers’ videos, the company wasn’t able to determine how many other employees inappropriately accessed private videos because Ring failed to implement basic measures to monitor and detect employees’ video access.
Drugi zasadniczy problem na który wskazuje FTC, to możliwość hackowania dostępu do nagrań czy live streamów, skutkująca też możliwością dwustronnej komunikacji (czyli np. straszenia głosowego osób przebywających w tym samym pomieszczeniu co kamerka). Tutaj hackowanie wyglądało raczej w prosty sposób (sprawdzenie przez napastników prostych par login/hasło):
hackers continued to exploit account vulnerabilities to access stored videos, live video streams, and account profiles of approximately 55,000 U.S. customers, according to the complaint. Bad actors not only viewed some customers’ videos but also used Ring cameras’ two-way functionality to harass, threaten, and insult consumers—including elderly individuals and children—whose rooms were monitored by Ring cameras, and to change important device settings, the FTC said. For example, hackers taunted several children with racist slurs, sexually propositioned individuals, and threatened a family with physical harm if they didn’t pay a ransom.
Amazon na razie nie odniósł się do zarzutów.
~ms
To zainstalujcie sobie apke na telefonie z Androidem, do grania muzyki od tej samej firmy matki (na A) opisanej w artykule, sciagnijcie pare utworow na telefon i nagrajcie mikrofonem kilka prywatnych rozmow na tym samym telefonie a nastepnie zrobcie playliste zeby odtwarzalo tylko muze sciagnieta na telefon. Jakos wasze prywatne nagrania dostaja sie do playlisty i skoro tak, to czy takze zostaja przetransferowane na serwery tej firmy bez informowania uzytkownika? Jakims cudem pliki mp3 z apki do nauki ang rowniez dostaja sie do playlisty w tej aplikacji.
Jak ustawiasz w aplikacji, żeby tworzyła playliste z muzyki pobranej na telefon i dajesz dostęp do systemu plików. To w zasadzie zrobiła to, na co jej pozwoliłeś. Każda inna zrobi tak samo w takim przypadku.
To jest standardowa cecha Androida – baza multimediów jest wspólna, jeżeli w publicznej przestrzeni dysku pojawi się plik mp3, zostanie zaindeksowany jako audio i będzie dostępny na liście plików muzycznych we wszystkich aplikacjach, którym użytkownik dał prawo dostępu do multimediów.
Jeżeli aplikacja ma jednocześnie prawo dostępu do Internetu i dostęp do multimediów, to technicznie może te pliki wysłać na serwer, ale w praktyce normalne aplikacje znanych dostawców tego nie robią, chyba że to jest naprawdę niezbędne do pracy (i wtedy jest to opisane w privacy policy). No i oczywiście jeżeli damy takie prawa jakiemuś trojanowi, to zrobi, co zechce.