Outra semana, outro relatório de produtos de tecnologia com problemas terríveis de segurança e privacidade. Desta vez, é a marca Eufy de câmeras conectadas da Anker, mas na próxima semana será algo diferente. Não, espere, já é algo diferente na mesma semana desde que as chaves de assinatura de aplicativos dos fabricantes de telefones Android foram “vazadas”.
Parece que todas as suas coisas estão com defeito e apenas esperando para se tornarem inseguras para uso.
Seriamente. não há um dispositivo ou aplicativo conectado já feito que não tenha possíveis falhas de segurança ou privacidade incorporadas, apenas esperando que alguém as encontre e as explore. As pessoas que projetam e constroem dispositivos, assim como as pessoas que escrevem o código que os alimenta, não são mágicas. Eles são pessoas muito inteligentes que trabalham muito para garantir que muitos bugs e falhas em potencial sejam detectados antes que um produto seja lançado, mas ainda são pessoas, então bugs e falhas encontrarão um caminho.
Este não é o verdadeiro motivo de preocupação, no entanto. Como tudo sob o sol é explorável de alguma forma, o importante é o que acontece depois que essas falhas são encontradas. Boas empresas reconhecem sua responsabilidade e agem de acordo.
O caso do Note 7
Não houve um produto com problemas que tenha mais palavras gastas nele do que o Samsung Galaxy Note 7. Embora não seja uma falha de software (provavelmente), ele teve um grande problema que a maioria de nós conhece porque ouvimos falar dele em todos os lugares – o bateria era propensa a explodir e pegar fogo. Muito mais frequentemente do que outros telefones.
Sempre uso o Note 7 como caso de teste ao considerar se uma empresa está fazendo a coisa certa com um produto problemático. Podemos supor que ninguém na Samsung sabia que havia um problema que poderia causar a queda do Galaxy Note 7 antes de ser colocado à venda. No final, era óbvio, no entanto.
A jornada da Samsung para fazer a coisa certa é interessante agora que tudo acabou. A princípio, a empresa não admitiu nenhuma falha. Enviou pessoas para ajudar na investigação, pediu produtos defeituosos para examinar e deixou o PR lidar com o problema. Embora a Samsung nunca tenha apontado o dedo para ninguém e dito que você está fazendo algo errado – o exército de comentaristas online da Samsung cuidou dessa parte – parecia que eles estavam se inclinando dessa maneira e estavam prestes a dizer “Você está segurando está errado.”
Eventualmente, porém, a Samsung assumiu o problema e fez o recall dos telefones. Em seguida, os relançou com exatamente o mesmo problema, o que fez parecer que eles não resolveram nada. No final, o Galaxy Note 7 foi retirado do mercado, a Samsung ofereceu crédito às pessoas para um novo telefone e a empresa investiu em um novo programa para melhorar a segurança da bateria para tudo dispositivos móveis.
Sempre que surge, gosto de lembrar às pessoas que a Samsung finalmente fez a coisa certa e muito mais, mas demorou um pouco para chegar lá. Essa hesitação, embora importante para as vendas e lucros globais, prejudicou a reputação da Samsung.
Você sabia que centenas de baterias de iPhone pegam fogo todos os anos? O mesmo vale para quase todas as marcas ou produtos que usam baterias de lítio de célula pequena. E produtos que usam grandes baterias de lítio. Se uma porcentagem suficientemente alta de dispositivos pegasse fogo, outra empresa estaria na mesma situação que a Samsung estava com o Note 7 – e analisaria como a Samsung lidou com isso para saber como, ou não, proceder.
como não fazer
“Discordamos veementemente das acusações feitas contra a empresa sobre a segurança de nossos produtos. No entanto, entendemos que os acontecimentos recentes podem ter causado preocupação para alguns usuários. Frequentemente revisamos e testamos nossos recursos de segurança e incentivamos o feedback do setor de segurança mais amplo para garantir que abordamos todas as vulnerabilidades de segurança confiáveis. Se uma vulnerabilidade credível for identificada, tomamos as medidas necessárias para corrigi-la. Além disso, cumprimos todos os órgãos reguladores apropriados nos mercados onde nossos produtos são vendidos. Finalmente, encorajamos os usuários a entrar em contato com nossa equipe dedicada de suporte ao cliente com perguntas.”
Essa é a resposta da Eufy ao mais recente problema em torno das câmeras de vigilância de consumo. Caso você não saiba, foi demonstrado por exemplos reais que o Eufy armazena imagens faciais juntamente com dados de identificação pessoal na nuvem sem permissão. Além disso, é bastante trivial assistir a uma transmissão ao vivo de qualquer câmera Eufy por meio de uma exploração muito semelhante a outras que sempre afetaram as câmeras do consumidor. Oof.
Observe que a empresa não está negando que haja um problema aqui – está apenas “discordando veementemente” de que existem problemas de segurança. Isso produz o mesmo resultado, mas dá à empresa uma saída quando (não se) ela tem que admitir que há problemas.
Também faz a empresa parecer um lixo quente. Eu, assim como inúmeras pessoas com apenas um pouquinho de experiência em computador, sabemos que há um problema e podemos reproduzi-lo sem muito trabalho. The Verge fez exatamente isso para provar duas vezes (essa é uma palavra agora).
Devemos acreditar que Eufy não acha que armazenar dados do usuário em servidores remotos sem permissão ou poder assistir a um fluxo de uma câmera de outra pessoa não seja uma preocupação válida? Porque é isso que estou lendo aqui.
Ah, bem, os gatos estão fora do saco agora … então também posso dizer a você. Você pode iniciar remotamente um stream e assistir às câmeras @EufyOfficial ao vivo usando o VLC. Sem autenticação, sem criptografia. Por favor, não peça um PoC – não posso liberar este. Atenção @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX25 de novembro de 2022
Para ser claro – a segunda questão não é um problema tão grande para a empresa quanto a primeira. Como mencionei acima, esses tipos de falhas existem e, eventualmente, alguém encontrará uma maneira de explorá-las e Eufy não está sozinho nesse aspecto. A empresa pode identificar o que está errado, corrigi-lo, enviar uma atualização de firmware para todos os dispositivos afetados e ser chamada por fazer a coisa certa. Em vez disso, isso.
A outra questão, onde os dados e imagens de reconhecimento facial são enviados e retidos, é outra lata de worms. Isso é um erro de codificação ou um motivo para banir as câmeras Eufy. Eu realmente espero que seja apenas um erro de codificação.
A melhor maneira é através de recompensas de bugs
As maiores e mais críticas falhas, sejam elas de hardware ou de software, afetam Apple, Google e Microsoft. Isso ocorre porque essas três empresas controlam quase todo o software nos dispositivos de consumo mais inteligentes – telefones, tablets, wearables e computadores.
Quando uma falha vem à tona, os três grandes não podem se dar ao luxo de sentar e procrastinar porque, potencialmente, bilhões de usuários estão em risco e haveria graves repercussões financeiras. Ei, o que for preciso para fazer com que as empresas de tecnologia cuidem de nossos melhores interesses, certo?
Uma coisa que essas três empresas usam é um programa de recompensas por bugs. Isso significa que eles vão te pagar por encontrar falhas em seus produtos.
As pessoas que encontram falhas críticas têm duas opções – denunciá-las para que possam ser corrigidas antes que se tornem um problema ou vendê-las pelo lance mais alto na “dark web” – um termo vago para a parte da Internet que você acessa em um maneira diferente através de software diferente. Você provavelmente não gostaria muito do que encontra se pesquisar no Google como acessá-lo, então considere-se avisado.
De qualquer forma, existem “sites” onde as pessoas que têm uma maneira de hackear todos os Chromebooks (apenas um exemplo) podem vender o método para alguém que queira fazer um lance nele. Ou a pessoa que o encontra pode simplesmente informar o Google e receber o pagamento.
Uma dessas coisas pode ser mais lucrativa que a outra, mas também é muito ilegal e não é uma garantia de que você conseguirá vendê-la. O outro é dinheiro grátis do Google para se divertir com hackers. Os programas de recompensa de bugs são eficazes, e é por isso que outras empresas como Samsung e Meta também os têm.
Então o que eu posso fazer?
Não há nada que você possa fazer para encontrar um produto que nunca terá uma falha de segurança grave. Nada. Zero. Zilch. Esse unicórnio não existe.
O que você deve fazer é apenas fazer um pouco de pesquisa antes de adicionar algo ao seu carrinho da Amazon. O Google pode contar sobre o histórico de uma empresa quando se trata de violações de segurança e, mais importante, como a empresa lidou com elas se elas aparecessem. Se você não tem certeza de que uma empresa fez a coisa certa, role para baixo os resultados até ver um pesquisador de segurança oferecendo sua opinião sobre isso. Você encontrará um, ou mil.
Eu posso recomendar que você compre um produto Samsung. O mesmo vale para Apple, Google, Microsoft, OnePlus, Nvidia, AMD, Intel e todas as outras empresas que tiveram alguns problemas de produto, mas os resolveram da maneira certa.
Também recomendarei alguns produtos de empresas que não lidarão com um problema da maneira certa no futuro porque ainda não aconteceu. Em ambos os casos, sempre recomendarei que você olhe e diga o que outras pessoas recomendam.
Informe-se e tente comprar de forma inteligente. Responsabilize as empresas pelas coisas que fizeram mal e recompense as empresas pelas coisas que fizeram certo. É realmente tudo o que podemos fazer.