Вредоносные программы в технике - Проект GNU - Фонд свободного программного обеспечения

Это перевод страницы, написанной на английском языке.

Вредоносные программы в бытовой технике

Другие примеры вредоносных несвободных программ

Вредоносные программы — это программы, проектируемые, чтобы работать так, что это ущемляет пользователя или вредит ему (здесь не подразумеваются случайные ошибки).

Вредоносные программы и несвободные программы — две разных проблемы. Разница между свободными и несвободными программами состоит в том, пользователи контролируют программу или наоборот. Это не является напрямую вопросом того, что программа делает, когда работает. Однако на практике несвободные программы часто вредоносны, потому что понимание разработчиком того, что пользователи будут бессильны исправить любые вредоносные функции, соблазняет разработчика вносить такие функции.

Вот примеры вредоноыных программ в бытовой технике.

Многие модели видеокамер с подключением к Интернету ужасающе уязвимы. В них есть учетные записи с прописанными в программе паролями, которые невозможно изменить, и удалить эти учетные записи тоже невозможно.
В несвободных программах, под управлением которых работают кардиостимуляторы, шприцы с инсулином и другие медицинские приборы, полным-полно грубых просчетов по части безопасности.
Пользователи судятся с Bose за распространение шпионской программы в наушниках. Конкретно, приложение записывает имена звуковых файлов, которые прослушивают пользователи, а также уникальный серийный номер наушников.

В суде предъявлено обвинение, что это делается без согласия пользователя. Если бы приложение писало мелким шрифтом, что пользователи на это соглашаются, было ли бы это приемлемо? Ни в коем случае! Закон должен однозначно запрещать закладывать в приложения любую слежку.
Компания Anova саботировала кухонные устройства пользователей, заменой программ, которая привязала их к удаленному серверу. Если пользователи не создадут учетную запись на серверах Anova, их оборудование не будет работать.
Когда дезинфицирующая посудомоечная машина Miele из Интернета клещей в больнице подключается к сети, ее защита никуда не годится.

Например, взломщик может получить доступ к файловой системе машины, заразить ее вредоносными программами и пользоваться ею как плацдармом для атак на другие устройства в той же сети. Поскольку эти машины применяются в больницах, это может поставить под угрозу сотни жизней.
Если вы покупаете “умный” автомобиль, дом, телевизор, холодильник и т.д., обычно предыдущие владельцы могут по-прежнему управлять им на расстоянии.
“Интеллектуальные” телевизоры Visio докладывают обо всем, что на них просматривается, а не только о том, что доставлено по эфиру или по кабелю. Даже если изображение поступило из собственного компьютера пользователя, телевизор о нем докладывает. Существование способа отключить слежку, даже если бы он не был скрыт, как в этих телевизорах, не может оправдывать эту слежку.
Более или менее все “умные” телевизоры шпионят за своими пользователями.

Это сообщение 2014 года, но мы не ожидаем, что положение улучшилось.

Это показывает, что когда законы требуют, чтобы пользователи продуктов формально давали согласие на сбор персональных данных, этого совершенно не достаточно. А что происходит, когда пользователь не дает согласия? Наверное, телевизор ответит: “Без вашего согласия на слежку телевизор не будет работать”.

В адекватных законах говорилось бы, что телевизоры не должны сообщать о том, что просматривает пользователь — безо всяких исключений!
Некоторые телевизоры LG являются тиранами.
“Интеллектуальные” телевизоры Samsung обратили Linux в базу для тиранической системы, чтобы навязывать цифровое управление ограничениями.Samsung может поступать так благодаря тому, что Linux выпускается под GNU GPL версии 2 а не версии 3, а также ослабленному толкованию GPL версии 2.
В несвободных программах Audi применялся простой метод обмана тестов выхлопных газов: до первого разворота автомобиль работал в специальном режиме с пониженным выхлопом.
На компанию-производителя управляемых по Интернету вибраторов подали в суд за сбор массы персональных данных о том, как пользователи применяют их изделия.

Возможно, данные действительно анонимизируются, как заявляет компания, но дело не в этом. Если она продает данные брокеру, то брокер может вычислять, чьи именно это данные.
Google/Alphabet преднамеренно вывели из строя продукты автоматического управления домом Revolv, работа которых зависила от сервера. Мораль: не терпите такого! Настаивайте на самостоятельных компьютерах, которые работают под управлением свободных программ!
У кабельного модема ARRIS есть черный ход в черном ходе.
Автомобили Caterpillar поставляются с черным ходом для удаленного отключения двигателя.
В “приложениях для хранения данных” Hewlett-Packard, в которых применяется несвободная операционная система “Left Hand”, есть черные ходы, которые дают компании учетную запись для доступа по сети. Компания утверждает, что это не дает ей доступа к данным клиента, но раз черный ход позволяет изменять установленные программы, то их можно изменить так, чтобы программы предоставляли доступ к данным клиента.
В некоторых маршрутизаторах D-Link есть черный ход для моментального изменения настроек.

Во многих моделях маршрутизаторов есть черные ходы.
В маршрутизаторе TP-Link есть черный ход.
В Фольксваген запрограммировали компьютеры в двигателях своих автомобилей на обнаружение тестов выхлопных газов, проводимых Агентством по охране окружающей среды США, и загрязнять воздух все остальное время.

В настоящей работе загрязнения выхлопов могли превосходить допустимые нормы в 35 раз.

Применение свободных программ не помешало бы Фольксвагену запрограммировать компьютер таким образом, но это было бы труднее скрыть.
Трехмерный принтер Cube спроектирован с цифровым управлением ограничениями: он не принимает расходные материалы третьих сторон. Это как Keurig, но для принтеров. Сейчас его поддержку прекращают, а это значит, что со временем санкционированные материалы будут недоступны и принтерами, вероятно, станет невозможно пользоваться.

Если принтер сертифицирован по программе “Уважает вашу свободу”, об этой проблеме не может даже идти речи.

Как жаль, что автор статьи пишет, будто нет “ничего плохого” в том, что устройство спроектировано прежде всего для ограничения пользователей. Это все равно что написать себе на лбу “надувайте и обижайте меня”. Мы не должны обманываться: нужно осуждать все компании, наживающиеся на таких людях. Именно примирение с такой несправедливой практикой приучает людей к тому, чтобы об них вытирали ноги.
“Интеллектуальные” лампы Philips спроектированы так, чтобы не взаимодействовать с интеллектуальными лампами других фирм.

Если продукт “интеллектуален” и его сделали не вы, он искусно служит своему производителю против вас.
Цифровое управление ограничениями есть на DVD и дисках Bluray.

На той странице употребляются вывернутые выражения, благоприятные для цифрового управления ограничениями, в том числе цифровое управление “правами” и “защита”, на странице утверждается, что за наложение цифрового управления ограничениями на эти диски ответственны в первую очередь “артисты”, а не компании. Как бы то ни было, статья служит источником фактических сведений.

На каждом диске Bluray (за немногими редкими исключениями) есть цифровое управление ограничениями; так что не пользуйтесь дисками Bluray!
Цифровое управление ограничениями в автомобилях будет приводить потребителей в бешенство.
В камерах наблюдения более 70 марок обнаружены недочеты безопасности, позволяющие кому угодно подглядывать через них.
В “интеллектуальном доме” компании Samsung есть большая прореха безопасности; люди могут получать несанкционированный удаленный контроль над ним.

Samsung заявляет, что это “открытая” платформа, так что за проблему частично ответственны разработчики приложений. Это, разумеется, верно, если эти приложения несвободны.

Все, что называется “интеллектуальным”, скорее всего, будет водить вас за нос.
В Nissan Leaf есть встроенный телефонный модем, позволяющий фактически кому угодно получать удаленный доступ к компьютерам и вносить изменения в различные настройки.

Это нетрудно потому, что в системе нет проверки подлинности пользователя при доступе по модему. Однако даже если бы модем проводил проверку, нельзя было бы быть уверенными, что у Nissan нет доступа. Программы в автомобиле несвободны, это значит, они требуют от пользователей слепой веры.

Даже если никто не подключается к автомобилю на расстоянии, модем сотовой связи позволяет телефонной компании постоянно отслеживать перемещения автомобиля; хотя можно физически удалить модем сотовой связи.
В видеокамерах систем безопасности, продаваемых через Amazon, найдены вредоносные программы.

Камера, которая записывает на свой физический носитель и у которой нет соединения с сетью, не угрожает людям слежкой — через нее за людьми не будут поглядывать, и вредоносные программы в камере в этом отношении тоже не представляют угрозы.
В физкультурных устройствах FitBit есть уязвимость Bluetooth, позволяющая посылать в устройства вредоносные программы, которые затем могут распространяться по компьютерам и другим устройствам FitBit, с которыми они взаимодействуют.
“Самошифрующиеся” жесткие диски шифруют с помощью несвободных внутренних программ, так что вы не можете им доверять. У дисков “My Passport” компании Western Digital есть черный ход.
Специалисты по безопасности обнаружили уязвимость в диагностических устройствах, применяемых для страхования и отслеживания маршрутов, которая позволяла им получить удаленный контроль над автомобилями посредством SMS.
Взломщикам удалось получить удаленный контроль над джипом “с соединением”.

Они могли следить за автомобилем, запускать и останавливать двигатель, включать и выключать тормоз, а также многое другое.

Я думаю, что Крайслер и АНБ тоже это могут.

Если у меня когда-нибудь будет машина и в ней будет мобильный телефон, я его выключу.
Инфузионные насосы Hospira, применяемые для ввода больным лекарств, были отмечены специалистом по безопасности как “самые плохо защищенные сетевые устройства из всех, какие я когда-либо видел”.

В случае некоторых препаратов это дает злоумышленнику возможность ввести пациенту смертельную дозу.
Из-за плохой защиты в инфузионном насосе взломщики могут использовать его для убийства пациентов.
В системы “интеллектуальных домов”, оказывается, до идиотизма легко проникнуть.
Федеральная торговая комиссия наказала компанию за производство сетевых камер со слабой защитой, так что каждый мог легко глядеть через них.
Над некоторыми автомобильными компьютерыми можно получить контроль с помощью вредоносных программ в файлах с музыкой. А также по радио. Другие сведения можно найти на сайте Центра автомобильной безопасности и конфиденциальности.
Получив контроль над вживленными медицинскими устройствами по радио, можно убивать людей. Подробности см. на сайте Би-Би-Си и в блоге IOActive.
Много больничного оборудования защищено паршиво, и это может быть смертельно.
Терминалы в местах продаж, работающие под управлением Windows, были взяты злоумышленниками под контроль и обращены в сеть сбора номеров кредитных карт клиентов.
Vizio воспользовалась “обновлением” программ в устройствах, чтобы заставить телевизоры подглядывать за тем, что смотрят пользователи. Когда телевизоры продавали, они этого еще не делали.
LG отключала сетевые функции в купленных до этого “интеллектуальных” телевизорах, если покупатели были не согласны, чтобы LG стала подглядывать за ними и распространять их личные данные.
Барби собирается шпионить за детьми и взрослыми.
Сетевые телефоны TNP Cisco шпионят.
“Интеллектуальная” камера Nest Cam смотрит всегда, даже когда “владелец” еe “выключает”.

“Интеллектуальное” устройство означает, что производитель пользуется им, чтобы интеллектуально вас надуть.
Компьютеризованные автомобили с несвободными программами являются шпионящими устройствами.
Несвободные программы в автомобилях записывают сведения о движениях водителей, а затем передают их производителям автомобиля, страховым компаниям и прочим.

Случай с системой сбора платежей, упомянутый в этой статье, в действительности не имеет отношения к слежке несвободными программами. Эти системы представляют недопустимое вторжение в личную жизнь и должны быть заменены на системы анонимных платежей, но вторжение осуществляют не вредоносные программы. В других случаях, упомянутых в статье, мы имеем дело с вредоносными несвободными программами в автомобиле.
Автомобили Tesla позволяют компании получать данные на расстоянии, а также определять местоположение автомобиля в любой момент (см. параграфы b и c раздела 2). Компания утверждает, что она не хранит этих сведений, но если государство приказывает собирать и передавать эти данные, то оно может их сохранять.
Vizio идет на шаг дальше других производителей телевизоров, шпионя за своими пользователями: их “интеллектуальные” телевизоры подробно анализируют ваши привычки просмотра и связывают их с вашим адресом IP, чтобы рекламодатели могли отслеживать вас на различных устройствах.

Это можно выключить, но несправедливо уже то, что по умолчанию это включено.
Договор Tivo с Viacom добавляет 2,3 миллиона квартир к 600 миллионам профилей социальных сетей, за которыми эта компания уже наблюдает. Клиенты Tivo не знают, что на них смотрят рекламодатели. Комбинируя информацию о просмотре телепередач с участием в социальных сетях, Tivo может теперь связывать телерекламу с покупками, совершаемыми по сети, подставляя по умолчанию всех пользователей под новый комбинированный вид слежки.
Некоторые рекламные объявления в Интернете и на телевидении передают неслышные звуки для приема несвободными вредоносными программами, работающими рядом на других устройствах, чтобы определять, что они неподалеку. Когда подключенные к Интернету устройства связаны с телевизором, рекламодатели могут статистически оценивать связь рекламы с активностью в Интернете, а также проводить другую слежку на связанных устройствах.
“Умные” телевизоры Vizio распознают и отслеживают то, что смотрят люди, даже если это не телевизионная передача.
“Умный” телевизор Amazon шпионит все время.
“Умные” телевизоры Samsung передают по Интернету речь пользователей в другую компанию, Nuance. Nuance может ее сохранять, а затем компании приходится передавать ее в государственные органы США или другой страны.

Распознаванию речи не следует доверять, если только оно не проводится свободными программами на вашем собственном компьютере.

В своей политике приватности Samsung явным образом подтверждает, что голосовые данные, содержащие конфиденциальную информацию, будут передаваться третьим сторонам.
Программы-шпионы в “умных” телевизорах LG докладывают о том, что смотрит пользователь, независимо от того, разрешено ли это в настройках телевизора (даже когда сервер отвечает квитанцией “страница не найдена” на высланные данные, это ничего не значит; эти данные все равно могут сохраняться на сервере LG).

Хуже того: телевизор подсматривает за другими устройствами по локальной сети пользователя.

Впоследствии LG заявила, что обновила программы, чтобы прекратить это, но шпионить таким образом может любой продукт.
Кабельное телевидение Verizon подглядывает за тем, какие фильмы люди смотрят и даже какие они захотели записать.