Вредоносные программы в технике - Проект GNU - Фонд свободного программного обеспечения

Это перевод страницы, написанной на английском языке.

Вредоносные программы в бытовой технике

Другие примеры вредоносных несвободных программ

Вредоносные программы — это программы, проектируемые, чтобы работать так, что это ущемляет пользователя или вредит ему (здесь не подразумеваются случайные ошибки).

Вредоносные программы и несвободные программы — две разных проблемы. Разница между свободными и несвободными программами состоит в том, пользователи контролируют программу или наоборот. Это не является напрямую вопросом того, что программа делает, когда работает. Однако на практике несвободные программы часто вредоносны, потому что понимание разработчиком того, что пользователи будут бессильны исправить любые вредоносные функции, соблазняет разработчика вносить такие функции.

Вот примеры вредоносных программ в бытовой технике.

Термометры Nest высылают много данных о пользователе.
Выяснилось, что игрушка для взрослых с дистанционным управлением проводит звукозапись разговора между двумя пользователями.
Каждая камера “домашней безопасности”, если ее изготовитель может с ней связываться, представляет устройство слежки. Например, камера Canary.

Статья описывает злодеяние со стороны изготовителя, обращая внимание на тот факт, что устройство привязано к серверу.

Другие сведения о привязке в несвободных программах.

Однако это показывает также, что устройство дает компании возможность слежки.
“Интеллектуальный” шприц для внутривенных инъекций в больницах подключен к Интернету. Естественно, его защита была взломана.

Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.
Отвратительная безопасность во многих устройствах Интернета клещей позволяет операторам связи подглядывать за людьми, которые ими пользуются.

Не будь простофилей — откажись от всех клещей.

Очень жаль, что в статье употребляется слово “монетизировать”.
Многие модели видеокамер с подключением к Интернету ужасающе уязвимы. В них есть учетные записи с прописанными в программе паролями, которые невозможно изменить, и удалить эти учетные записи тоже невозможно.
В несвободных программах, под управлением которых работают кардиостимуляторы, шприцы с инсулином и другие медицинские приборы, полным-полно грубых просчетов по части безопасности.
Пользователи судятся с Bose за распространение шпионской программы в наушниках. Конкретно, приложение записывает имена звуковых файлов, которые прослушивают пользователи, а также уникальный серийный номер наушников.

В суде предъявлено обвинение, что это делается без согласия пользователя. Если бы приложение писало мелким шрифтом, что пользователи на это соглашаются, было ли бы это приемлемо? Ни в коем случае! Закон должен однозначно запрещать закладывать в приложения любую слежку.
Компания Anova саботировала кухонные устройства пользователей, заменой программ, которая привязала их к удаленному серверу. Если пользователи не создадут учетную запись на серверах Anova, их оборудование не будет работать.
Когда дезинфицирующая посудомоечная машина Miele из Интернета клещей в больнице подключается к сети, ее защита никуда не годится.

Например, взломщик может получить доступ к файловой системе машины, заразить ее вредоносными программами и пользоваться ею как плацдармом для атак на другие устройства в той же сети. Поскольку эти машины применяются в больницах, это может поставить под угрозу сотни жизней.
Если вы покупаете “умный” автомобиль, дом, телевизор, холодильник и т.д., обычно предыдущие владельцы могут по-прежнему управлять им на расстоянии.
“Интеллектуальные” телевизоры Visio докладывают обо всем, что на них просматривается, а не только о том, что доставлено по эфиру или по кабелю. Даже если изображение поступило из собственного компьютера пользователя, телевизор о нем докладывает. Существование способа отключить слежку, даже если бы он не был скрыт, как в этих телевизорах, не может оправдывать эту слежку.
Более или менее все “умные” телевизоры шпионят за своими пользователями.

Это сообщение 2014 года, но мы не ожидаем, что положение улучшилось.

Это показывает, что когда законы требуют, чтобы пользователи продуктов формально давали согласие на сбор персональных данных, этого совершенно не достаточно. А что происходит, когда пользователь не дает согласия? Наверное, телевизор ответит: “Без вашего согласия на слежку телевизор не будет работать”.

В адекватных законах говорилось бы, что телевизоры не должны сообщать о том, что просматривает пользователь — безо всяких исключений!
Некоторые телевизоры LG являются тиранами.
“Интеллектуальные” телевизоры Samsung обратили Linux в базу для тиранической системы, чтобы навязывать цифровое управление ограничениями.Samsung может поступать так благодаря тому, что Linux выпускается под GNU GPL версии 2 а не версии 3, а также ослабленному толкованию GPL версии 2.
На компанию-производителя управляемых по Интернету вибраторов подали в суд за сбор массы персональных данных о том, как пользователи применяют их изделия.

Возможно, данные действительно анонимизируются, как заявляет компания, но дело не в этом. Если она продает данные брокеру, то брокер может вычислять, чьи именно это данные.
Google/Alphabet преднамеренно вывели из строя продукты автоматического управления домом Revolv, работа которых зависила от сервера. Мораль: не терпите такого! Настаивайте на самостоятельных компьютерах, которые работают под управлением свободных программ!
У кабельного модема ARRIS есть черный ход в черном ходе.
В “приложениях для хранения данных” Hewlett-Packard, в которых применяется несвободная операционная система “Left Hand”, есть черные ходы, которые дают компании учетную запись для доступа по сети. Компания утверждает, что это не дает ей доступа к данным клиента, но раз черный ход позволяет изменять установленные программы, то их можно изменить так, чтобы программы предоставляли доступ к данным клиента.
В некоторых маршрутизаторах D-Link есть черный ход для моментального изменения настроек.

Во многих моделях маршрутизаторов есть черные ходы.
В маршрутизаторе TP-Link есть черный ход.
Трехмерный принтер Cube спроектирован с цифровым управлением ограничениями: он не принимает расходные материалы третьих сторон. Это как Keurig, но для принтеров. Сейчас его поддержку прекращают, а это значит, что со временем санкционированные материалы будут недоступны и принтерами, вероятно, станет невозможно пользоваться.

Если принтер сертифицирован по программе “Уважает вашу свободу”, об этой проблеме не может даже идти речи.

Как жаль, что автор статьи пишет, будто нет “ничего плохого” в том, что устройство спроектировано прежде всего для ограничения пользователей. Это все равно что написать себе на лбу “надувайте и обижайте меня”. Мы не должны обманываться: нужно осуждать все компании, наживающиеся на таких людях. Именно примирение с такой несправедливой практикой приучает людей к тому, чтобы об них вытирали ноги.
“Интеллектуальные” лампы Philips спроектированы так, чтобы не взаимодействовать с интеллектуальными лампами других фирм.

Если продукт “интеллектуален” и его сделали не вы, он искусно служит своему производителю против вас.
Цифровое управление ограничениями есть на DVD и дисках Bluray.

На той странице употребляются вывернутые выражения, благоприятные для цифрового управления ограничениями, в том числе цифровое управление “правами” и “защита”, на странице утверждается, что за наложение цифрового управления ограничениями на эти диски ответственны в первую очередь “артисты”, а не компании. Как бы то ни было, статья служит источником фактических сведений.

На каждом диске Bluray (за немногими редкими исключениями) есть цифровое управление ограничениями; так что не пользуйтесь дисками Bluray!
В камерах наблюдения более 70 марок обнаружены недочеты безопасности, позволяющие кому угодно подглядывать через них.
В “интеллектуальном доме” компании Samsung есть большая прореха безопасности; люди могут получать несанкционированный удаленный контроль над ним.

Samsung заявляет, что это “открытая” платформа, так что за проблему частично ответственны разработчики приложений. Это, разумеется, верно, если эти приложения несвободны.

Все, что называется “интеллектуальным”, скорее всего, будет водить вас за нос.
В видеокамерах систем безопасности, продаваемых через Amazon, найдены вредоносные программы.

Камера, которая записывает на свой физический носитель и у которой нет соединения с сетью, не угрожает людям слежкой — через нее за людьми не будут поглядывать, и вредоносные программы в камере в этом отношении тоже не представляют угрозы.
В физкультурных устройствах FitBit есть уязвимость Bluetooth, позволяющая посылать в устройства вредоносные программы, которые затем могут распространяться по компьютерам и другим устройствам FitBit, с которыми они взаимодействуют.
“Самошифрующиеся” жесткие диски шифруют с помощью несвободных внутренних программ, так что вы не можете им доверять. У дисков “My Passport” компании Western Digital есть черный ход.
Инфузионные насосы Hospira, применяемые для ввода больным лекарств, были отмечены специалистом по безопасности как “самые плохо защищенные сетевые устройства из всех, какие я когда-либо видел”.

В случае некоторых препаратов это дает злоумышленнику возможность ввести пациенту смертельную дозу.
Из-за плохой защиты в инфузионном насосе взломщики могут использовать его для убийства пациентов.
В системы “интеллектуальных домов”, оказывается, до идиотизма легко проникнуть.
Федеральная торговая комиссия наказала компанию за производство сетевых камер со слабой защитой, так что каждый мог легко глядеть через них.
Получив контроль над вживленными медицинскими устройствами по радио, можно убивать людей. Подробности см. на сайте Би-Би-Си и в блоге IOActive.
Много больничного оборудования защищено паршиво, и это может быть смертельно.
Терминалы в местах продаж, работающие под управлением Windows, были взяты злоумышленниками под контроль и обращены в сеть сбора номеров кредитных карт клиентов.
Vizio воспользовалась “обновлением” программ в устройствах, чтобы заставить телевизоры подглядывать за тем, что смотрят пользователи. Когда телевизоры продавали, они этого еще не делали.
LG отключала сетевые функции в купленных до этого “интеллектуальных” телевизорах, если покупатели были не согласны, чтобы LG стала подглядывать за ними и распространять их личные данные.
Барби собирается шпионить за детьми и взрослыми.
Сетевые телефоны TNP Cisco шпионят.
“Интеллектуальная” камера Nest Cam смотрит всегда, даже когда “владелец” еe “выключает”.

“Интеллектуальное” устройство означает, что производитель пользуется им, чтобы интеллектуально вас надуть.
Vizio идет на шаг дальше других производителей телевизоров, шпионя за своими пользователями: их “интеллектуальные” телевизоры подробно анализируют ваши привычки просмотра и связывают их с вашим адресом IP, чтобы рекламодатели могли отслеживать вас на различных устройствах.

Это можно выключить, но несправедливо уже то, что по умолчанию это включено.
Договор Tivo с Viacom добавляет 2,3 миллиона квартир к 600 миллионам профилей социальных сетей, за которыми эта компания уже наблюдает. Клиенты Tivo не знают, что на них смотрят рекламодатели. Комбинируя информацию о просмотре телепередач с участием в социальных сетях, Tivo может теперь связывать телерекламу с покупками, совершаемыми по сети, подставляя по умолчанию всех пользователей под новый комбинированный вид слежки.
Некоторые рекламные объявления в Интернете и на телевидении передают неслышные звуки для приема несвободными вредоносными программами, работающими рядом на других устройствах, чтобы определять, что они неподалеку. Когда подключенные к Интернету устройства связаны с телевизором, рекламодатели могут статистически оценивать связь рекламы с активностью в Интернете, а также проводить другую слежку на связанных устройствах.
“Умные” телевизоры Vizio распознают и отслеживают то, что смотрят люди, даже если это не телевизионная передача.
“Умный” телевизор Amazon шпионит все время.
“Умные” телевизоры Samsung передают по Интернету речь пользователей в другую компанию, Nuance. Nuance может ее сохранять, а затем компании приходится передавать ее в государственные органы США или другой страны.

Распознаванию речи не следует доверять, если только оно не проводится свободными программами на вашем собственном компьютере.

В своей политике приватности Samsung явным образом подтверждает, что голосовые данные, содержащие конфиденциальную информацию, будут передаваться третьим сторонам.
Программы-шпионы в “умных” телевизорах LG докладывают о том, что смотрит пользователь, независимо от того, разрешено ли это в настройках телевизора (даже когда сервер отвечает квитанцией “страница не найдена” на высланные данные, это ничего не значит; эти данные все равно могут сохраняться на сервере LG).

Хуже того: телевизор подсматривает за другими устройствами по локальной сети пользователя.

Впоследствии LG заявила, что обновила программы, чтобы прекратить это, но шпионить таким образом может любой продукт.
Кабельное телевидение Verizon подглядывает за тем, какие фильмы люди смотрят и даже какие они захотели записать.