И снова о безопасности: «хорошие» и «плохие» компании

По материалам Android Central

Очередная неделя и очередная история про технику, имеющую серьезные проблемы с безопасностью и конфиденциальностью. На этот раз засветился Eufy, бренд камер наблюдения и другой домашней техники от Anker, а на следующей неделе будет уже что-то другое. Нет, подождите, «что-то другое» уже случилось на той же неделе – произошла «утечка» ключей подписи приложений для производителей телефонов на Android.

Похоже, уязвимости есть у всех наших вещей, они просто ждут своего часа.

Серьезно, нет ни одного подключенного к сети устройства или приложения, которое не имело бы встроенных потенциальных изъянов безопасности или конфиденциальности, и они просто ожидают, пока кто-то их найдет и воспользуется ими. Те, кто проектирует и создает устройства, а также те, кто пишет код, приводящий их в действие, не волшебники. Это просто очень умные люди, которые очень много работают, чтобы убедиться, что потенциальные баги и уязвимости будут обнаружены до того, как продукт выйдет на рынок. Но они всего лишь люди, поэтому изъяны обязательно вылезут на свет.

Однако настоящая причина для беспокойства совсем не в том. Уязвимости есть буквально у всего в этом мире, гораздо важнее, что произойдет после того, как проблемы будут обнаружены. Хорошие компании осознают свою ответственность и руководствуются ей в своих действиях.

Вспомним о Note 7

История не знает более нашумевшего проблемного устройства, чем Samsung Galaxy Note 7. Скорее всего, изъян крылся не в программном обеспечении, у смартфона была серьезная проблема, о которой известно большинству из нас, потому что о ней говорили из каждого утюга, — аккумулятор смартфона потенциально мог взорваться и загореться. Гораздо с большей вероятностью, чем у других устройств.

Note 7 можно использовать в качестве тестового примера для проверки того, правильно ли та или иная компания поступает с проблемным продуктом. Мы можем предположить (хотя это практически очевидно), что никто в Samsung не знал о проблеме, которая может привести к эпическому провалу Galaxy Note 7, еще до того, как он поступит в продажу.

Интересно посмотреть, как Samsung пришла к тому, чтобы принять правильное решение, особенно теперь, когда все уже закончилось. Сначала компания не признала свою вину. Она отправила своих сотрудников для помощи в расследовании, попросила проверить дефектные устройства и поручила решить проблему своему PR-отделу. На самом деле, Samsung никогда не перекладывала вину на кого-либо еще и не говорила, мол, это вы делали что-то не так, но в Интернете армия комментаторов позаботилась обо всем сама — казалось, что еще немного, и мы услышим знаменитое «вы неправильно его держите».

В конце концов Samsung признала проблему и отозвала телефоны. Затем снова выпустила их в продажу, но проблема сохранилась, из-за чего показалось, что в компании по факту не принимают никаких мер. В итоге Galaxy Note 7 был изъят из магазинов, Samsung предложила людям бонус на новый телефон и инвестировала в совершенно новую программу по повышению безопасности аккумуляторов для всех мобильных устройств.

Всякий раз, когда всплывает эта история, так и тянет напомнить людям, что Samsung в итоге поступила правильно и даже более того, но потребовалось время, чтобы это случилось. И все махинации, хотя и важные для глобальных продаж и прибыли, нанесли ущерб репутации компании.

Знаете ли вы, что ежегодно загораются сотни аккумуляторов iPhone? То же самое касается почти любого бренда или продукта, в котором есть компактные литиевые батареи. И продуктов, в которых используются большие литиевые аккумуляторы, тоже – мы смотрим на тебя, «Тесла». Если начнет загораться достаточно высокий процент устройств, какая-то другая компания окажется в той же ситуации, что и Samsung с ее Note 7, — и она будет смотреть на то, как Samsung справилась с ней, чтобы знать, как можно действовать, а как нет.

Как не надо делать

«Мы категорически не согласны с обвинениями, выдвинутыми против компании в отношении безопасности наших продуктов. Однако мы понимаем, что недавние события могли вызвать беспокойство у некоторых пользователей. Мы часто пересматриваем и тестируем наши функции безопасности и поощряем обратную связь от индустрии безопасности, чтобы убедиться, что мы устраняем все заслуживающие доверия уязвимости безопасности. Если обнаружена подтвержденная уязвимость, мы предпринимаем необходимые действия для ее исправления. Кроме того, мы соблюдаем требования всех соответствующих регулирующих органов на рынках, где продается наша продукция. Наконец, мы рекомендуем пользователям обращаться с вопросами в нашу специальную службу поддержки клиентов».

Это текст ответа Eufy на последнюю проблему, связанную с камерами наблюдения потребительского уровня. Если вы не знали, на реальных примерах было показано, что Eufy без разрешения хранит в облаке изображения лиц вместе с данными, позволяющими идентифицировать личность. Кроме того, довольно просто получить доступ к трансляции с любой камеры Eufy с помощью эксплойта, очень похожего на другие, которые всегда были характерны для потребительских камер наблюдения. Бр-р.

Обратите внимание, что компания не отрицает проблемы — она лишь «категорически не соглашается» с наличием угрозы безопасности. Это приводит к тому же результату, но даст компании лазейку, когда (а не если) ей придется признать проблему.

Это выглядит так плохо, что аж хорошо. Бесчисленное множество людей, хоть немного разбирающихся в компьютерах, знают, что уязвимость существует, и могут воспользоваться ей без особых хлопот. Так, например, это продемонстрировали в The Verge.

Должны ли мы понимать это так, что Eufy не считает серьезной проблемой возможность хранения пользовательских данных на удаленных серверах без разрешения или просмотра видео с камеры, которой владеет кто-то другой? Потому что пока все именно так и выглядит.

Вторая проблема не настолько критична для компании, как первая. Как уже говорилось выше, такого рода уязвимости существуют, и в конце концов кто-то найдет способ их использовать, Eufy не одинока в этом отношении. Но компания могла бы определить, что пошло не так, исправить это, разослать обновление прошивки на все затронутые устройства, и все бы признали, что она поступила правильно. Вместо этого имеем что имеем.

Первая же проблема, связанная с отправкой и хранением данных, полученных при распознавании лиц, — это либо ошибка в коде, либо причина, по которой камеры Eufy следует запретить. И хорошо, если это просто ошибка в коде.

Награда за баги

Крупнейшие и наиболее критические уязвимости, будь то аппаратные или программные проблемы, затрагивают Apple, Google и Microsoft, потому что эти три компании контролируют почти все программное обеспечение на самых умных потребительских устройствах — телефонах, планшетах, носимых устройствах и компьютерах.

Когда обнаруживается уязвимость, большая тройка не может позволить себе сидеть сложа руки и откладывать решение на потом, потому что миллиарды пользователей потенциально оказываются в опасности, и это может привести к довольно серьезным финансовым последствиям. Весомая причина для технологических компаний заботиться о наших интересах, верно?

Все три компании используют программы вознаграждения за поиск багов, то есть заплатят вам за обнаружение уязвимостей в их продуктах. У людей, которые находят критические баги, есть два варианта: сообщить о них, чтобы их можно было исправить до того, как они начнут представлять проблему, или продать их тому, кто больше заплатит, в даркнете. Во всяком случае, есть сайты, где люди, нашедшие способ, к примеру, взломать любой хромбук, могут продать эту информацию тому, кто знает, как ее использовать. Или человек может просто сообщить об этом Google и получить деньги.

Склоняясь к более прибыльному варианту, любой должен понимать, что он является незаконным и не гарантирует, что человек сможете продать информацию. В противном случае он просто получит деньги от Google, поиграв в хакера. Программы вознаграждения за поиск багов эффективны, поэтому они есть и у других компаний, таких как Samsung и Meta*.

Что делать?

Продуктов, у которых никогда не будет серьезных изъянов безопасности, не существует, как не существует единорогов. И с этим ничего не поделать.

А вот что можно сделать, так это провести небольшое исследование, прежде чем добавлять какой-то продукт в корзину. Даже запрос в поисковике может многое рассказать о компании, если вас интересует вопрос безопасности, — какие уязвимости обнаруживались и, что более важно, как с ними справлялись. Если вы не уверены, что компания поступила правильно, прокрутите результаты вниз, пока не найдете исследователя безопасности, высказывающего свое громкое мнение по этому поводу, — одного или тысячу.

Можно спокойно рекомендовать купить продукт Samsung. То же самое касается Apple, Google, Microsoft, OnePlus, Nvidia, AMD, Intel и любой другой компании, у которой были какие-то проблемы с продуктом, но они решили их правильно. Также можно рекомендовать некоторые продукты от компаний, которые не решат проблему в будущем, потому что ее еще не было. В любом случае всегда стоит смотреть на отзывы других пользователей, делать покупки с умом, привлекать компании к ответственности за то, что они сделали плохо, и голосовать рублем за компании, которые все сделали правильно. Пока это все, что мы можем.

А вы уделяете внимание безопасности, покупая устройства? Что готовы простить компании, а что заставит вас навсегда отказаться от ее продуктов?

*Компания Meta Platforms, в которую входят социальные сети Facebook и Instagram, признана экстремистской организацией и запрещена в РФ.

[email protected]
наверх