Zastanawiasz się, czy nowoczesne urządzenia, które w większości przypadków są stale podłączone do sieci i mają dostęp do twoich danych cię szpiegują? Przyjrzałem się kilku mitom na ten temat.
Coraz więcej osób obawia się, że inteligentne urządzenia AGD mogą podsłuchiwać ich rozmowy czy korzystać z wbudowanych kamer, aby następnie przesyłać te informacje do producentów, lub być wykorzystywanych do szpiegowania. Ile w tym prawdy? Sprawdzam fakty i obalam mity.
Lodówka może nagrywać twoje rozmowy
W 2015 roku w sieci pojawiały się informacje o tym, że nowa inteligentna lodówka od Samsunga może nagrywać rozmowy oraz przesyłać ich zapis do chmury. Rzeczywiście przez pewien czas pojawiał się problem z zabezpieczeniami, które w określonych i specyficznych warunkach pozwalały hakerom na dostanie się do niektórych wrażliwych danych jeśli na ekranie urządzenia uruchomiony był dostęp np. do kalendarza Google. Te informacje szybko jednak zdementowano, informując, że osoba chcąca uzyskać dane użytkownika, musiałaby przedostać się przez skomplikowane szyfry, numery seryjne oraz dokładne oznaczenie poszczególnych modeli. Samsung też wydał w tej sprawie oświadczenie:
W firmie Samsung rozumiemy, że nasz sukces zależy od zaufania konsumentów do nas, naszych produktów i świadczonych przez nas usług. Gdy tylko zidentyfikowano tę potencjalną lukę, niezwłocznie podjęliśmy działania w celu zbadania i rozwiązania problemu poprzez wdrożenie aktualizacji oprogramowania w dniu 25 sierpnia 2015 roku.
Lodówka podłączona do sieci rozpocznie aktualizację oprogramowania automatycznie. Jeśli zostanie odłączona, aktualizacja rozpocznie się po przywróceniu połączenia sieciowego. Ochrona prywatności naszych konsumentów jest naszym najwyższym priorytetem i każdego dnia ciężko pracujemy, aby chronić naszych cenionych użytkowników Samsunga.
Jak widać producent postanowił dmuchać na zimne. Z kolei jeśli chodzi o kwestię przesyłania rozmów, okazało się, że było to tylko plotka, ponieważ sprzęt nie był wyposażony w mikrofon, więc było to fizycznie niemożliwe.
Wiele osób jednak może się zastanawiać, jak to wygląda w przypadku sprzętów, które wykorzystują asystentów głosowych w postaci np. Alexy, Google czy Siri. Oczywiście ostrożności nigdy za wiele, jednak mikrofony w tych urządzeniach rozpoczynają rejestrację dopiero po ich aktywowaniu, więc poza sytuacjami, w których rzeczywiście chcemy z nich korzystać, nie trzeba się obawiać, że nasze rozmowy będą przesyłane dalej.
Inteligentne urządzenia przesyłają dane do producentów
W 2020 roku Xiaomi znalazło się w samym centrum kontrowersji związanych z prywatnością i bezpieczeństwem danych. Zarzuty dotyczyły popularnego wówczas robota sprzątającego, a dokładnie modelu Mi Robot Vacuum. Miał on rzekomo zbierać dane użytkowników i wysyłać na serwery w Chinach.
Sytuacja zaogniła się w momencie, kiedy użytkownicy i badacze bezpieczeństwa zauważyli, że aplikacja towarzysząca robotowi zbierała dane o lokalizacji użytkowników oraz wykorzystywanych urządzeniach. Poszło szczególnie o to, że robot miał wysyłać dane o tym, jak ludzie z niego korzystali, w tym mapy, zdjęcia i inne informacje związane z porządkami domowymi. Te dane miały być wysyłane na serwery do Chin, co wywołało obawy, że mogły one zostać użyte do celów szpiegowskich lub komercyjnych, przykładowo do tworzenia szczegółowych profili użytkowników w celach reklamowych.
Xiaomi z całą stanowczością zaprzeczyło tym doniesieniom, twierdząc, że wszystkie dane były zbierane tylko i wyłącznie w celach technicznych, które miały pomóc w poprawie funkcjonalności urządzenia. Przedstawiciele firmy zaznaczali także, że wszystkie informacje były przechowywane w sposób bezpieczny oraz nie były wykorzystywane w żaden inny sposób, a w szczególności taki, który miałby zagrozić bezpośrednio prywatności użytkowników.
Pomimo zapewnień firmy, sprawa wywołała szereg pytań o prywatność danych i bezpieczeństwo urządzeń smart home, które zbierają ogromne ilości danych. Wielu użytkowników zaczęło bardziej zwracać uwagę na to, jakie urządzenia uruchamiają w swoich domach, obawiając się zagrożeń związanych z nieautoryzowanym zbieraniem i przesyłaniem danych. Uczy nas to tego, aby za każdym razem zwracać dużą uwagę na zgody, jakie zaznaczamy np. podczas rejestracji konta w aplikacjach obsługujących tego typu urządzenia.
Smart kamery mogą być hackowane
To jest niestety smutna prawda, jednak my sami, jako użytkownicy, możemy temu zapobiec. Jednym z najgłośniejszych przypadków, w którym smart kamera została zhakowana, była sytuacja związana z kamerami Nest, produkowanymi przez Google. W 2019 roku kilka osób zgłosiło, że ich kamery, które były częścią systemu smart home, zostały przejęte przez cyberprzestępców. Ci wykorzystali je do niepożądanych celów, takich jak wyświetlanie obrazu z kamery w czasie rzeczywistym lub głośne wywoływanie dźwięków.
W jednym z przypadków hakerzy zdołali przejąć kontrolę nad kamerą w domu pewnej rodziny. Przestępcy odtwarzali przez głośnik kamery niepokojące komunikaty i groźby. Na innych urządzeniach wyświetlali także obraz pochodzący z kamer, co wywołało panikę wśród rodziny. Zawiadomiono wówczas policję, która wszczęła śledztwo.
Problem z hakowaniem kamer wynikał z nieodpowiedniego zabezpieczenia kont użytkowników. W tym przypadku wykorzystano metodę „credential stuffing”, która polega na wykorzystaniu skradzionych wcześniej loginów i haseł z innych usług, aby dostać się bezpośrednio do kont użytkowników kamery. Bardzo często ludzie, którzy korzystali z tych samych haseł do wielu usług, padali ofiarami tego typu przestępstw.
Po tym zdarzeniu firma Google wzmocniła systemy zabezpieczeń kamery Nest, zachęcając użytkowników do włączania uwierzytelniania dwuskładnikowego (2FA) i stosowania silniejszych, unikalnych haseł dla swoich kont. Te wydarzenia zwróciły uwagę na poważne zagrożenia związane z prywatnością i bezpieczeństwem urządzeń IoT, czyli takich które komunikują się między sobą i wymieniają danymi w sieci. Tyczyło się to w szczególności systemów kamer oraz monitoringu domowego.
Jak widać, w większości przypadków my sami możemy jeszcze lepiej zadbać o zabezpieczenie swojej prywatności. Przede wszystkim warto stosować silne i unikalne hasła, logowanie dwuskładnikowe oraz dokładnie czytać to, na co zgadzamy się podczas np. instalowania aplikacji.
