Cyberbezpieczeństwo
#CyberMagazyn: Twoja kawa szpiegiem Pekinu
Smart urządzenia zyskują na popularności. Są trendy, pokazują status materialny i ułatwiają codzienność. Jednak często nie zdajemy sobie sprawy, że jest również druga strona medalu. Badacze New Kite Data Labs sprawdzili inteligentne ekspresy do kawy chińskiej produkcji. Okazuje się, że nasze dane nie są bezpieczne.
Cyberzagrożenia związane z Chinami najczęściej kojarzą się ze szpiegostwem. Powszechnie uznaje się, że Państwo Środka skupia się na pozyskiwaniu informacji o wysokim znaczeniu z perspektywy jego interesów.
Przykładem tego typu działań może być opisywana na naszym portalu ostatnia aktywność grupy „Gallium”. Hakerzy posługiwali się nowym wariantem trojana zdalnego dostępu PingPull do atakowania podmiotów w Europie, Azji Południowo-Wschodniej i Afryce. Wszystko z myślą o szpiegostwie.
Należy jednak mieć na uwadze, że Pekin zainteresowany jest gromadzeniem nie tylko danych o wysokiej wartości, ale także innych informacji wpisujących się w szerszy katalog. Są one pozyskiwane zarówno w kraju, jak i za granicą.
Czytaj też
Nie zdajemy sobie sprawy
Często bezpieczeństwo danych kojarzone jest z ochroną informacji niejawnych, w tym wojskowych i wywiadowczych. Niemniej jednak problem ten jest dużo bardziej złożony i obejmuje szeroki katalog danych. Z biegiem czasu i rozwoju technologicznego, a także galopującej cyfryzacji, staje się on coraz szerszy. Wynika to z prostego faktu – pojawiają się nowe urządzenia połączone z internetem, które stanowią źródło informacji.
Oczywiście mowa tu nie tylko o komputerach, smartfonach, tabletach, laptopach, ale o pozostałych rodzajach sprzętu elektronicznego zaliczanego do internetu rzeczy (IoT – Internet of Things). Przykłady można mnożyć: od inteligentnych bram garażowych, przez smart odkurzacze po połączone z Internetem lodówki, pralki, zmywarki, kuchenki itd. Często nawet nie zdajemy sobie sprawy, że korzystając z nich, dajemy komuś dane na nasz temat.
Kawa i Chiny
Badacze Christopher Balding i Joe Wu z New Kite Data Labs opublikowali raport dotyczący zbierania danych przez Chiny z urządzeń internetu rzeczy. Specjaliści przeanalizowali przypadek inteligentnych... ekspresów do kawy.
W ramach badania skupili się na produktach chińskich marek (nie zdradzają ich nazw), które zbierają różnorodne dane na temat użytkowników i ich otoczenia. Mowa o m.in. przygotowywanych napojach czy lokalizacji.
Zdaniem ekspertów odkrycie powinno niepokoić, ponieważ pokazuje szeroki zakres pozyskiwanych informacji, co odbywa się dzięki urządzeniom o niskim poziomie bezpieczeństwa. Ich uwagę przykuły także niejasne zasady przechowywania danych.
W raporcie podkreślono wprost: Chiny, jako jeden z głównych producentów urządzeń IoT, posiadają większe możliwości gromadzenia szerokiego katalogu danych na temat użytkowników z całego świata.
„Chiny naprawdę zbierają dane na temat praktycznie wszystkiego. Jako produkcyjne serce świata, mogą wykorzystywać wszelkiego rodzaju urządzenia na świecie do tego celu” – mówi na łamach „Washington Times” Christopher Balding.
Czytaj też
Dane trafiają do Chin
Przedstawiciele New Kite Data Labs przeanalizowali inteligentne ekspresy do kawy chińskiej produkcji, które są wykorzystywane w miejscach publicznych i komercyjnych (jak np. hotele, restauracje, biura) ale także gospodarstwach domowych w Chinach, USA, Europie i innych rynkach poza Państwem Środka.
Jak się okazało, pomimo że urządzenia zbierają szeroki zakres informacji o użytkownikach, producent nic nie mówi na temat przechowywania danych i polityki prywatności. „Nie znaleźliśmy dowodów na to, że firma zbudowała serwery inne niż chińskie do obsługi danych w celu spełniania przepisów RODO” – czytamy w raporcie. A przecież ekspresy mają wiele smart funkcji i przetwarzają informacje, które muszą być odpowiednio chronione.
„Dowody świadczą, że urządzenia (chińskiego producenta – red.) mogą i zbierają dane o użytkownikach spoza Chin i przechowują je w Państwie Środka” – wskazują Christopher Balding i Joe Wu. Informacje są pozyskiwane w trakcie pracy oprogramowania wbudowanego w inteligentny ekspres.
Czytaj też
Nic istotnego? Pozornie
Pozornie wydaje się, że przecież tego typu urządzenie, nawet jeśli zbiera o nas dane, to są to informacje dość „przyziemne”, bez większego znaczenia. Bo przecież, „co kogo obchodzi co piję z rana?”. Warto jednak spojrzeć nieco głębiej.
Zebrane przez ekspresy dane można podzielić na kilka kategorii. Po pierwsze, informacje o produkcie i jego użytkowaniu, np. jakie napoje przyrządzamy, składniki, najczęściej wykorzystywaną moc maszyny.
Następnie należy wyróżnić dane dotyczące płatności – odnosi się to przede wszystkim do ekspresów w publicznych miejscach, gdzie za kawę, herbatę lub inny napój trzeba zapłacić. „Dane tego typu bez wątpienia należy uznać za wrażliwe” – wskazują autorzy badania. Mowa tu o m.in. szczegółach dokonanej transakcji.
Trzecia kategoria obejmuje dane o klientach, w tym czas i lokalizację uprzędzenia. Dzięki tego typu informacjom można zobaczyć, gdzie ekspres się znajduje i w jaki sposób jest używany (a więc preferencje użytkowników).
Ponadto, urządzenia rozpoznają głos, ponieważ są wyposażone w funkcję poleceń werbalnych. Tu eksperci zwracają szczególną uwagę na kwestię bezpieczeństwa ze względu na możliwe zbieranie danych głosowych użytkowników spoza Chin.
Czytaj też
Im większa popularność, tym większe obawy
Przykład chińskich ekspresów to jedynie promil w całej perspektywie problemów bezpieczeństwa urządzeń IoT. Wiele z nich ma niedociągnięcia, które prowadzą do naruszeń prywatności użytkowników i narażają ich dane.
Nie pomaga również fakt, że konsumenci często nawet nie zastanawiają się nad tym, jakie informacje mogą być gromadzone przez ich sprzęt. Nie przechodzi im przez myśl, gdzie dane mogą być przechowywane, w jakim celu przetwarzane itd.
Oczywiście, w grę w chodzi także niestosowanie się do obowiązujących przepisów. W raporcie zwrócono uwagę na przykład Starego Kontynentu. „W Europie, pomimo że dane użytkowników mają być przechowywane na tym kontynencie, wiele firm decyduje się je przekazać i przechowywać w państwach trzecich” – czytamy.
W związku z tym można stwierdzić, że wraz z rosnąca popularnością urządzeń internetu rzeczy, zwiększają się obawy dotyczące prywatności i bezpieczeństwa danych pozyskiwanych przez inteligentny sprzęt.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].