Okoseszközök buta fejlesztése

2019. február 11. 17:18 - Csizmazia Darab István [Rambo]

Nem először írunk a témában, hiszen már két esztendeje is volt rá eset, hogy Németországban adatvédelmi aggályok merültek fel bizonyos gyermek okosórákkal szemben, így ezek ottani árusítását betiltották. Az akkori adatvédelmi aggályok mellett (például szülő titokban kémkedhet az iskolai ottlét alatt) még az is problémát okozott, hogy a gyenge biztonság miatt távoli támadók képesek lehettek az eszköz GPS és egyéb adatainak illetéktelen kikémlelésére is. Na vajon tanultunk mindebből?

Azok válaszoltak helyesen, akik szkeptikusak voltak a válaszukkal. Elvileg minden fejlesztőnek álmából ébresztve is tudni kéne, hogy kellene helyesen fejleszteni.

Szakmai minimum lenne ugyanis, hogy legyen hitelesítés, legyen brute force elleni védelem, ne tartalmazzon az eszköz fixen bedrótozott, hardcoded admin jelszót, szerepeljen benne titkosítás, a létrehozott profilok szerkeszthetők és törölhetőek legyenek, jó ha biztosított valamilyen szintű malware védelem, és végül, de semmiképpen nem utolsó sorban legyen rendszeres hibajavító frissítés is gyártó részéről.

Most kicsit ahhoz hasonlít a dolog, mint amikor elkészül a nagyfeszültségű vezeték alatt élő panaszosoknak szánt megnyugtató szakvélemény, hogy á dehogy is káros vagy egészségtelen az, minden a legnagyobb rendben, sőt. De aztán valahogy sem a szakértő, sem a villamosművek vezetői még véletlenül sem költöznek ilyen helyre a családjukkal, szüleikkel, gyerekeikkel, míg másoknak persze szerintük jó lesz.

Nagyjából így készül az okos eszközök fejlesztése is, a gyors profit sajnálatos módon sokszor felülír minden fajta biztonsági szempontot az eszközök jelentős részében. És aki rendszeres blogolvasó, az emlékezhet, hogy sajnos sokszor az orvosi eszközök sem kivételek ebből a szempontból. Itt írtunk a sérülékeny szívritmusszabályozókról, itt pedig egy sebezhető inzulin adagolóról.

Ezúttal ismét a gyermekeknek szánt okosóra került az érdeklődés homlokterébe, ugyanis az Európai Bizottság visszahívási utasítást adott ki egy ilyen eszközre, ugyanis ennek használata komoly kockázatot jelent a viselője magánéletére és biztonságára.

A németországi ENOX Group által forgalmazott Safe-KID-One nevű beépített GPD-es okosóra - amely mikro SIM-et, mikrofont és hangszórót is tartalmaz, ezáltal teljes hívás, hívásfogadás illetve SMS támogatással is rendelkezik - olyan biztonsági hibákat tartalmaz, amelynek kihasználásával távoli támadók titkosítatlan kommunikáció révén nem nemcsak a hívott/fogadott telefonszámokhoz férhetnek hozzá, ezeket módosíthatják vagy törölhetik, de a gyermek lokációs adatait is le tudják kérdezni, akár a korábbi tartózkodási hely előzményeivel együtt.

Tehát van a naiv ügyfél, a gyermekét féltő szülő, aki az óra megvásárlásakor éppen abban bízott, hogy ennek segítségével majd nagyobb biztonságban lehet a kiskorú, ám a fentiek miatt éppen az ellenkezője történik, nagyobb veszélynek teszi ki, mintha nem is ruházott volna be ilyen órába. Ha gyermekfelügyeleti rendszerről van szó, ilyenek széleskörűen léteznek mind iPhone, mind Android rendszer alatt.

Az ESET Parental Control egy jó választás lehet az utóbbi platformra, hiszen a tartózkodási helyet azzal is lekérdezhetjük baj esetén, emellett pedig számos egyéb előnye is van: közös szabályok alapján együtt telepíti fel szülő és gyermek, tehát nincs szó titokban való kémkedésről, beállíthatóak az életkornak megfelelő tartalmak, az igénybe vehető időszakok és időtartamok, amit a későbbiek folyamán közösen módosíthatnak, bővíthetnek, és megbeszélhetik a tapasztalatokat, tanulva egymástól.

A konkrét esetben tehát az Európai Bizottság úgy értékelte, hogy a Safe-KID-One használata veszélyes, összeegyeztethetetlen az EU-ban alkalmazott biztonsági irányelvekkel, így a termék visszahívását kezdeményezték, illetve figyelmeztetést, tájékoztatást is kiadtak a felhasználók számára.

Reméljük, egyszer eljön majd az az idő is, amikor a vírustörténelem 33 évéből tanulva megfelelő biztonságú eszközök megjelenéséről is hírt adhatunk, ahol már csak PEBKAC típusú felhasználói hibák elkövetésével sodorhatjuk magunkat veszélybe, nem pedig idióta átgondolatlan tervezés útján, ahogy az eddig sajnos már számtalan esetben történt.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Serrin 2020.05.25. 14:01:49

Nekem egyszerű megoldásom van: egyetlen okoseszközöm egy iOS telefon, amin az alkalmazások sem kapnak olyan hozzáféréseket, amik nem kellenek. Szerencsére az Apple eleve korlátozza ezt, nem úgy mint a Google.

Minek egy játáknak a telefonszámaim és miért akar hozzáférést az sms küldéshez? Ez megtörtént eset Androidon.

Családban is próbáltam ezt terjeszteni, de a szoftveresen gagyi és névtelen kínai telefon (mert olcsó), meg a nevenincs okosóra nagyon kell és számítógépet sem frissítenek (jó kis átjáróház XP, meg Win7), mert minek az...
süti beállítások módosítása