9:28
15/11/2018

Misie, roboty edukacyjne i różdżki Harrego Pottera mogą być zagrożeniem dla prywatności i bezpieczeństwa rodziny. Mozilla wydała przewodnik po tego typu gadżetach pod znaczącym tytułem “Privacy not included“.

Przewodnik opisuje 70 gadżetów i zabawek takich jak drony, inteligentne żarówki, zestawy kreatywne czy smartwatche. W przewodniku zawarto informacje o tym, czy polityka prywatności jest czytelna, czy informacje o użytkowniku trafiają do innych podmiotów, czy są automatyczne aktualizacje, czy wymuszana jest zmiana hasła itd.

Czytając przewodnik można się zdziwić, bo np. pewne inteligentne gniazdko przekazuje informacje podmiotom trzecim z bliżej nieokreślonych powodów.

Gorzej jednak wyglądają informacje o pewnym baby monitorze, czyli urządzeniu do podglądania dziecka w domu.

Jest w tym coś niesamowitego, że urządzenie stworzone z myślą o bezpieczeństwie dziecka(!) nie ma automatycznych aktualizacji i nie wymaga zmiany hasła, natomiast “głupsze” dinozaury i miśki mogą być być bezpieczniejsze pod tym względem. Ba! Pewien producent dinozaura współpracuje z pentesterami, podczas gdy producent baby monitora nie prowadzi żadnych działań by zmniejszyć ryzyko (por. Lalka Barbie szpieguje dzieci, z którymi się bawi). Naprawdę polecamy ten poradnik Mozilli.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

11 komentarzy

Dodaj komentarz
  1. Czymś trzeba płacić. Jeśli nie pieniędzmi to stratą czasu na reklamy i/lub prywatnością. Tym bardziej może denerwować, że płatne produkty nas szpiegują.

  2. Brak produktów Xiaomi, Samsung, LG, Sony. ITP… bardziej straszenie niż merytoryczne podejście do tematu.

    • Nie brak tylka sa. Adwokaci i grozba procesu. Jak sie o jakims chinczyku o niewymawialnej nazwie napisze to chinczyk z zakladu pracy chronionej wzruszy ramionami, wezmie giwere i pojdzie na wieczorna warte pilnowac pracownikow. A operator wlasnosciowy w duzej firmie powie “Pani Alice, prosze wezwac adwokatow i zarezerwowac wieksza sale”. I pozniej beda sadzic do braku pieniedzy… I bedziesz winny…

    • @Levi

      A teraz wpisz w google “apple vulnerability”, “sony vulnerability”, “xiaomi vulnerability” i zobacz sobie jak to co napisałeś ma się do rzeczywistości. :)

    • @Jaykob: rozwiniesz temat tego ‘merytorycznego podejścia do tematu’? bo produkty niektórych firm podanych przez Ciebie znajdziesz w tym przewodniku…

    • Jaykob to troll a wy mu odpisujecie jakby był 2007

  3. Heh, jak dla mnie, baby monitor jest stworzony nie tyle z myślą o bezpieczeństwie dziecka, co z myślą o pieniądzach do zarobienia na ludziach, którzy mają nadzieję to bezpieczeństwo kupić.

    • Baby monitor jest pewnie zrobiony po taniości przez trzyosobowy startup z Chin, który już nie istnieje (a produkt leci pod inną marką). Zgadłem? :]

      W większości przypadków problemem z Chińskimi produktami nie jest “uuu, ne dajemy faka na temat sekjurity więc celowo zrobimy dziurawe”, tylko “a walniemy tak żeby było taniej, i tak się zrebrandujemy za 3msc” :)

  4. Słaby ten ranking, pomijając selektywny dobór produktów – wziąłem sobie produkt który znam – DJI Spark:

    >Product uses encryption: no
    Apka loguje się po SSL (nie trzeba się logować za każdym razem), komunikacja z produktem jest zaszyfrowana i wymagało spalenia 0daya w ftpd żeby go zjailbreakować. :] Z ruchu sieciowego nie dało się nic wyczytać, chyba ze traktujemy ADB po USB jako “ruch sieciowy”, ale to zostało załatane jakiś rok temu, tym samym blokując jailbreak (teraz trzeba wgrywać moduły firmware selektywnie z pominięciem tego dziurawego).

    >Reading level for privacy policy: Grad school
    Produkt to nie zabawka (kosztuje $400-$500), więc skąd oburzenie?

    >Shares your information with 3rd parties for unexpected reasons: Yes
    Tu się akurat zgadzam, i wiele z tego leci po zwykłym http, dlatego apka na osobnym dedykowanym telefonie bez karty SIM. Ciekawostka: producent sam zaleca używanie airplane mode w celu poprawy stabilności apki (jest dość zasobożerna z wiadomych względów).

    >If a password is required, you must change the default password: No
    Apka informuje o słabym haśle i to chyba tyle. Kontroler paruje się po bluetooth i po sparowaniu *nie da się* połączyć bezpośrednio do urządzenia bez fizycznego dostępu do niego, ale z kolei da się do kontrolera :P

    >Has parental controls: no
    Ale że w dronie za $400 parental controlsy? Po grzmota? Jak chcesz dron dla dzieciaka, to kupujesz 120-gramową zabawkę za $30 o zasięgu 60 metrów, a nie autonomiczy UAV latający na 4 mile bez utraty podglądu video…

    Ciekawe, że nie dołączyli pozostałych produktów DJI (w tym tych za $1800), które przecież wszystkie korzystają z tej samej aplikacji…

    @nbzp czemu resetujecie wielkość pola z komentarzem gdy traci fokus? Wiecie jakie to wpieniające?

    • Nie wydaje się, że go znasz, skoro nie wiesz jak spraka reklamuje DJI – właśnie bardziej jak “zabawkę”, drona do selfie.
      Lista jest skupiona na prezentach na święta. Jest więc kierowana głównie do rodziców, którzy będą kupować swoim dzieciom prezenty i chcą jednak wiedzieć czy nie szpiegują ich one.

      DJI Spark według samego DJI jest dronem do selfie i dodatkowo może więcej. Nie jest więc produktem dla profesjonalistów. Nie jest kierowany do profesjonalistów. Jest kierowany do “zwykłych śmiertelników” – a także jako prezent na święta, co widać po tym, że sprzedają wersję “świąteczną” (niestety nie w naszym regionie :V Ale możesz poszukać).
      Mam po prostu wrażenie, że większość twojego narzekania wynika z niezrozumienia tej listy, jak i drona o którym mówisz. To nie jest kierowane do profesjonalistów, entuzjastów, czy w ogóle ludzi związanych z technologiami. Tacy ludzie nie potrzebują tej listy, sami mogą przeczytać sobie politykę prywatności, zobaczyć czego wymaga aplikacji i doczytać czy produkt ma mikrofony, aparaty, GPS itp.
      Jest kierowana do mniej uzdolnionych technicznie rodziców i wszystkie punkty są na to kierowane. Dlatego jest tam punkt o kontroli rodzicielskiej.
      A trudność zrozumienia polityki prywatności? Polityka prywatności powinna być zawsze dość prosta, niezależnie do kogo kierowany jest produkt. Nie dlatego, że klient może nie zrozumieć, a po prostu trudne teksty mniej się chce czytać.

      Zgadzam się więc tylko co do szyfrowania, bo powiadomienie o słabym haśle=/=wymuszeniu zmiany, a możliwość pracy offline nie zmienia tego, że normalnie dzieli się danymi.

      A innych dronów nie ma, bo nie są kierowane na ten sam rynek, a do profesjonalistów/entuzjastów (czy to dronów, czy fotografii lub filmu).

  5. niezłe info przy cyrkulatorze sous-vide:
    What could happen if something went wrong
    Someone could hack your Wi-Fi, crank up the cooking temperature on your sous vide, and over cook your steak.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.