Вредоносные программы в технике - Проект GNU - Фонд свободного программного обеспечения

Это перевод страницы, написанной на английском языке.

Вредоносные программы в бытовой технике

Другие примеры вредоносных несвободных программ

Вредоносные программы — это программы, проектируемые, чтобы работать так, что это ущемляет пользователя или вредит ему (здесь не подразумеваются случайные ошибки).

Вредоносные программы и несвободные программы — две разных проблемы. Разница между свободными и несвободными программами состоит в том, пользователи контролируют программу или наоборот. Это не является напрямую вопросом того, что программа делает, когда работает. Однако на практике несвободные программы часто вредоносны, потому что понимание разработчиком того, что пользователи будут бессильны исправить любые вредоносные функции, соблазняет разработчика вносить такие функции.

Некоторые примеры вредоносных программ в бытовой технике перечислены ниже.

Если вам известен пример, который должен быть на этой странице, но его здесь нет, сообщите нам по адресу <webmasters@gnu.org>. Упомяните один-два заслуживающих доверия URL в качестве конкретных свидетельств.

В протоколе телеметрии Medtronics Conexus есть две уязвимости, которым подвержены несколько моделей имплантируемых дефибрилляторов и устройств, с которыми они соединяются.

Этот протокол применяется с 2006 года, и сходные уязвимости были обнаружены в более раннем протоколе Medtronics в 2008 году. Очевидно, компания ничего не предпринимала для их устранения. Это значит, что нельзя рассчитывать, что разработчики несвободных программ будут устранять ошибки в своих продуктах.
Камера — дверной глазок Ring (сейчас Amazon) может смотреть все время. И вот оказывается, что смотреть в нее может кто угодно, и даже подделывать видеоизображение.

Уязвимость третьей стороны, предположительно, была непреднамеренной, и я полагаю, в Amazon это исправят. Но я не думаю, что Amazon изменит устройство программы, которое позволяет Amazon смотреть через камеру.
В картриджах Hewlett-Packard с “подпиской на чернила” есть цифровое управление ограничениями, которое постоянно связывается с серверами Hewlett-Packard, чтобы проверить, платит ли еще пользователь за подписку и не напечатано ли больше страниц, чем оплачено.

Даже если программа подписки на чернила может дать экономию в каких-то конкретных случаях, она шпионит за пользователями и связана с совершенно неприемлемыми ограничениями на пользоватние картриджами, который без них нормально бы работал.
Устройства “безопасности” Amazon Ring отсылают видеозаписи, которые они собирают, на серверы Amazon, где они сохраняются на длительное время.

Во многих случаях видеозаписи показывают всех, кто оказался вблизи или просто проходит мимо двери пользователя.

Основное внимание статья уделяет тому, как Ring позволял отдельным работникам свободно заглядывать в видеозаписи. Как оказалось, в Amazon пытались предотвратить эти вторичные злоупотребления, но первичное злоупотребление, состоящее в том, что Amazon получает видеозаписи,— Amazon считает, что в этом общество должно уступить.
Телевизоры Vizio собирают “все, что видит телевизор”, по словам руководителя компании, и эти данные продают на сторону. Это в обмен на “лучшее обслуживание” (что значит более навязчивую рекламу?) и слегка сниженные розничные цены.

Почему он считает эту слежку примелемой? Потому что в более новых моделях она выключена, пока ее не включат пользователи. Но поскольку программы Vizio не свободны, мы не знаем, что на деле происходит за кулисами, и нет никаких гарантий, что в будущих обновлениях эти настройки не изменятся.

Если у вас уже есть интеллектуальный телевизор Vizio (или вообще любой интеллектуальный телевизор), самый простой способ гарантировать, что он за вами не следит — отключить его от Интернета и пользоваться антенной. К сожалению, это не всегда возможно. Другая возможность, если вы разбираетесь в технике,— достать себе маршрутизатор (им может стать старый компьютер, работающий полностью под управлением свободных программ), и настройть брандмауэр, чтобы соединения с серверами Vizio блокировались. Или, в крайнем случае, можно заменить свой телевизор на другую модель.
Почти все “камеры домашней охраны” передают изготовителю незашифрованную копию всего, что они видят. Луше было бы называть их “камерами домашней уязвимости”!

Когда их испытывали в Consumer Reports, было предложено, чтобы изготовители обещали не смотреть, что содержится в видеозаписях. Такая охрана для вашего дома не годится. Настоящая охрана означает, что они гарантированно не могут смотреть в ваши камеры.
Производители принтеров очень изобретательны — в блокировке применения картриджей третьих производителей. Их “обновления безопасности” время от времени налагают новые формы цифрового управления ограничениями в картриджах. Так делали HP и Epson.
“Интеллектуальные” термостаты Honeywell связываются только с сервером компании. У них есть все скверные черты таких устройств: слежка и опасность саботажа (конкретного пользователя и всех пользователей сразу), а также риск перерывов в работе (именно это и произошло).

Кроме того, установка требуемой температуры требует несвободных программ. В старомодных термостатах это делается с помощью органов управления прямо на термостате.
Исследователи открыли способ скрывать голосовые команды в других звукозаписях, так что люди эти команды не слышат, но их слышат Alexa и Siri.
Физкультурное устройство Jawbone было привязано к несвободному телефонному приложению. В 2017 году компания закрылась и прекратила работу приложения. Все существующие устройства навсегда прекратили работу.

Статья обсуждает продолжение этой скверной истории — то, что неработающие устройства продолжали продавать. Но я думаю, то второстепенная проблема; из-за этого последствия распространились еще на каких-то людей. Принципиальная несправедливость была в том, что эти устройства были спроектированы так, чтобы зависеть от чего-то еще, что не уважает свободу пользователей.
Медицинская страховая компания предлагает бесплатную электронную зубную щетку, которая подглядывает за пользователем, высылая сведения о пользовании по Интернету.
Некоторые “интеллектуальные” телевизоры автоматически загружают устарения, которые устанавливают программу слежки.

Мы ссылаемся на статью в подтверждение фактов, которые в ней представлены. К сожалению, она заканчивается слабохарактерной рекомендацией уступить Netflix. Приложение Netflix тоже вредоносно.
Устройства Apple замыкают пользователей исключительно на службах Apple, поскольку они спроектированы несовместимыми с другими вариантами, как этичными, так и неэтичными.
Одна из опасностей “Интернета клещей” заключается в том, что если у вас прекращается обслуживание Интернетом, вы также утрачиваете контроль над своим домом и бытовой техникой.

В целях своей безопасности не пользуйтесь никакой бытовой техникой, подключающейся к настоящему Интернету.
Компания Amazon недавно пригласила потребителей быть простофилями и позволить сотрудникам служб доставки открывать их входные двери. Вот вам серьезная прореха в защите системы.
Выяснилось, что игрушка для взрослых с дистанционным управлением проводит звукозапись разговора между двумя пользователями.
Logitech будет саботировать все домашние устройства управления Harmony Link, выключив сервер, через который те, кто якобы являются владельцами продуктов, связываются с ними.

Владельцы подозревают, что это сделано с целью вынудить их купить новую модель. Если они неглупы, они, наоборот, научатся не доверять любому продукту, который требует, чтобы пользователи общались с ним через какую-то специализированную службу.
Каждая камера “домашней безопасности”, если ее изготовитель может с ней связываться, представляет устройство слежки. Например, камера Canary.

Статья описывает злодеяние со стороны изготовителя, обращая внимание на тот факт, что устройство привязано к серверу.

Другие сведения о привязке в несвободных программах.

Однако это показывает также, что устройство дает компании возможность слежки.
“Интеллектуальный” шприц для внутривенных инъекций в больницах подключен к Интернету. Естественно, его защита была взломана.

Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.
Отвратительная безопасность во многих устройствах Интернета клещей позволяет операторам связи подглядывать за людьми, которые ими пользуются.

Не будь простофилей — откажись от всех клещей.

Очень жаль, что в статье употребляется слово “монетизировать”.
Компания Sonos велела всем своим клиентам “согласиться” на поглядывание, в противном случае продукт перестанет работать. В другой статье говорится, что они не меняют программы принудительно, но люди не будут получать обновления и когда-нибудь это перестанет работать.
Пока вы пользуетесь беспилотником DJI, чтобы подглядывать за другими, DJI во многих случаях подглядывает за вами.
Многие модели видеокамер с подключением к Интернету ужасающе уязвимы. В них есть учетные записи с прописанными в программе паролями, которые невозможно изменить, и удалить эти учетные записи тоже невозможно.
В несвободных программах, под управлением которых работают кардиостимуляторы, шприцы с инсулином и другие медицинские приборы, полным-полно грубых просчетов по части безопасности.
Одна компания реализовала домашних птиц и кроликов для Second Life; их корм был привязана к одному серверу. Компания выключила сервер, и домашние животные более или менее погибли.
Пользователи судятся с Bose за распространение шпионской программы в наушниках. Конкретно, приложение записывает имена звуковых файлов, которые прослушивают пользователи, а также уникальный серийный номер наушников.

В суде предъявлено обвинение, что это делается без согласия пользователя. Если бы приложение писало мелким шрифтом, что пользователи на это соглашаются, было ли бы это приемлемо? Ни в коем случае! Закон должен однозначно запрещать закладывать в приложения любую слежку.
Компания Anova саботировала кухонные устройства пользователей, заменой программ, которая привязала их к удаленному серверу. Если пользователи не создадут учетную запись на серверах Anova, их оборудование не будет работать.
Когда дезинфицирующая посудомоечная машина Miele из Интернета клещей в больнице подключается к сети, ее защита никуда не годится.

Например, взломщик может получить доступ к файловой системе машины, заразить ее вредоносными программами и пользоваться ею как плацдармом для атак на другие устройства в той же сети. Поскольку эти машины применяются в больницах, это может поставить под угрозу сотни жизней.
Компьютеризованный вибратор подглядывал за пользователями посредством несвободного управляющего приложения.

Приложение поминутно сообщало температуру вибратора (таким образом, косвенно докладывал о том, окружен ли вибратор человеческим телом) и частоту вибраций.

Обратите внимание на то, насколько неадекватное предлагается решение: стандарт маркировки, с помощью которой изготовители делали бы уведомления о своих продуктах — вместо свободных программ, которые могли бы проверяться и модифицироваться пользователями.

На компанию-производителя управляемых по Интернету вибраторов подали в суд за сбор массы персональных данных о том, как пользователи применяли их изделия.

Возможно, данные действительно анонимизировались, как заявляла компания, но дело не в этом. Если она продавала данные брокеру, то брокер мог вычислять, чьи именно это данные.

По решению суда компания выплатила в общей сложности 4 миллиона долларов пени своим клиентам.
Игрушки с микрофонами “CloudPets” раскрывают разговоры детей изготовителю. И знаете что? Взломщики нашли способ получать данные, собираемые при подслушивании изготовителем.

Недопустимо уже то, что изготовитель и ФБР могли прослушивать эти разговоры.
Если вы покупаете “умный” автомобиль, дом, телевизор, холодильник и т.д., обычно предыдущие владельцы могут по-прежнему управлять им на расстоянии.
“Интеллектуальные” телевизоры Vizio докладывают обо всем, что на них просматривается, а не только о том, что доставлено по эфиру или по кабелю. Даже если изображение поступило из собственного компьютера пользователя, телевизор о нем докладывает. Существование способа отключить слежку, даже если бы он не был скрыт, как в этих телевизорах, не может оправдывать эту слежку.
Взломщик мог бы обратить датчики Oculus Rift в шпионские камеры после взлома компьютера, к которому они подключены.

К сожалению, в статье взломщики безосновательно называются “хакерами”.
Оборудование для виртуальной реальности, измеряющее самые небольшие движения, создает возможноть для беспрецедентно строгой слежки за пользователем. Все, что нужно для реализации этой возможности — программы, вредоносные в такой же степени, как многие другие программы, перечисленные на этой странице.

Можно быть уверенным, что Facebook реализует максимально возможную слежку в устройствах Oculus Rift. Мораль: никогда не доверяйте системе виртуальной реальности, программы в которой несвободны.
Разработчик Ham Radio Deluxe саботировал установку программы клиентом в наказание за отрицательный отзыв.

Большинство компаний, занимающихся несвободными программами, не применяют свою власть так жестко, но несправедливо уже то, что у них есть такая власть.
“Умные” игрушки “Мой друг Кейла” и i-Que можно контролировать по сотовому телефону; физический доступ для этого не нужен. Это позволяет взломщикам прослушивать речь ребенка и даже говорить голосом самих игрушек.

Это значит, что вор может голосом игрушки попросить ребенка открыть дверь, пока не видит мама.
Программы для устройств HP налагает цифровое управление ограничениями на некоторые принтеры, которые отказываются функционировать с чернильными кассетами сторонних производителей.
Для термостата с несвободными программами были разработаны вымогательские программы.
В “интеллектуальном доме” компании Samsung есть большая прореха безопасности; люди могут получать несанкционированный удаленный контроль над ним.

Samsung заявляет, что это “открытая” платформа, так что за проблему частично ответственны разработчики приложений. Это, разумеется, верно, если эти приложения несвободны.

Все, что называется “интеллектуальным”, скорее всего, будет водить вас за нос.
В видеокамерах систем безопасности, продаваемых через Amazon, найдены вредоносные программы.

Камера, которая записывает на свой физический носитель и у которой нет соединения с сетью, не угрожает людям слежкой — через нее за людьми не будут поглядывать, и вредоносные программы в камере в этом отношении тоже не представляют угрозы.
Google/Alphabet преднамеренно вывели из строя продукты автоматического управления домом Revolv, работа которых зависела от сервера, выключив сервер. Мораль: отвергайте все такие продукты. Настаивайте на самостоятельных компьютерах, которые работают под управлением свободных программ!
В камерах наблюдения более 70 марок обнаружены недочеты безопасности, позволяющие кому угодно подглядывать через них.
Трехмерный принтер Cube спроектирован с цифровым управлением ограничениями: он не принимает расходные материалы третьих сторон. Это как Keurig, но для принтеров. Сейчас его поддержку прекращают, а это значит, что со временем санкционированные материалы будут недоступны и принтерами, вероятно, станет невозможно пользоваться.

Если принтер сертифицирован по программе “Уважает вашу свободу”, об этой проблеме не может даже идти речи.

Как жаль, что автор статьи пишет, будто нет “ничего плохого” в том, что устройство спроектировано прежде всего для ограничения пользователей. Это все равно что написать себе на лбу “надувайте и обижайте меня”. Мы не должны обманываться: нужно осуждать все компании, наживающиеся на таких людях. Именно примирение с такой несправедливой практикой приучает людей к тому, чтобы об них вытирали ноги.
“Интеллектуальные” лампы Philips первоначально проектировались для взаимодействия с интеллектуальными лампами других фирм, но затем компания обновила программы, чтобы запретить взаимодействие.

Если продукт “интеллектуален” и его сделали не вы, он искусно служит своему производителю против вас.
В некоторых маршрутизаторах D-Link есть черный ход для моментального изменения настроек.

В маршрутизаторе TP-Link есть черный ход.

Во многих моделях маршрутизаторов есть черные ходы.
“Интеллектуальная” камера Nest Cam смотрит всегда, даже когда “владелец” еe “выключает”.

“Интеллектуальное” устройство означает, что производитель пользуется им, чтобы интеллектуально вас надуть.
У кабельного модема ARRIS есть черный ход в черном ходе.
Некоторые рекламные объявления в Интернете и на телевидении передают неслышные звуки для приема несвободными вредоносными программами, работающими рядом на других устройствах, чтобы определять, что они неподалеку. Когда подключенные к Интернету устройства связаны с телевизором, рекламодатели могут статистически оценивать связь рекламы с активностью в Интернете, а также проводить другую слежку на связанных устройствах.
Vizio идет на шаг дальше других производителей телевизоров, шпионя за своими пользователями: их “интеллектуальные” телевизоры подробно анализируют ваши привычки просмотра и связывают их с вашим адресом IP, чтобы рекламодатели могли отслеживать вас на различных устройствах.

Это можно выключить, но несправедливо уже то, что по умолчанию это включено.
Договор Tivo с Viacom добавляет 2,3 миллиона квартир к 600 миллионам профилей социальных сетей, за которыми эта компания уже наблюдает. Клиенты Tivo не знают, что на них смотрят рекламодатели. Комбинируя информацию о просмотре телепередач с участием в социальных сетях, Tivo может теперь связывать телерекламу с покупками, совершаемыми по сети, подставляя по умолчанию всех пользователей под новый комбинированный вид слежки.
уязвимость Bluetooth, позволяющая посылать в устройства вредоносные программы, которые затем могут распространяться по компьютерам и другим устройствам FitBit, с которыми они взаимодействуют.
“Самошифрующиеся” жесткие диски шифруют с помощью несвободных внутренних программ, так что вы не можете им доверять. У дисков “My Passport” компании Western Digital есть черный ход.
“Умные” телевизоры Vizio распознают и отслеживают то, что смотрят люди, даже если это не телевизионная передача.
Из-за плохой защиты в инфузионном насосе взломщики могут использовать его для убийства пациентов.
Кабельное телевидение Verizon подглядывает за тем, какие фильмы люди смотрят и даже какие они захотели записать.
Инфузионные насосы Hospira, применяемые для ввода больным лекарств, были отмечены специалистом по безопасности как “самые плохо защищенные сетевые устройства из всех, какие я когда-либо видел”.

В случае некоторых препаратов это дает злоумышленнику возможность ввести пациенту смертельную дозу.
Vizio воспользовалась “обновлением” программ в устройствах, чтобы заставить телевизоры подглядывать за тем, что смотрят пользователи. Когда телевизоры продавали, они этого еще не делали.
Барби собирается шпионить за детьми и взрослыми.
“Умные” телевизоры Samsung передают по Интернету речь пользователей в другую компанию, Nuance. Nuance может ее сохранять, а затем компании приходится передавать ее в государственные органы США или другой страны.

Распознаванию речи не следует доверять, если только оно не проводится свободными программами на вашем собственном компьютере.

В своей политике приватности Samsung явным образом подтверждает, что голосовые данные, содержащие конфиденциальную информацию, будут передаваться третьим сторонам.
“Умный” телевизор Amazon шпионит все время.
Более или менее все “умные” телевизоры шпионят за своими пользователями.

Это сообщение 2014 года, но мы не ожидаем, что положение улучшилось.

Это показывает, что когда законы требуют, чтобы пользователи продуктов формально давали согласие на сбор персональных данных, этого совершенно не достаточно. А что происходит, когда пользователь не дает согласия? Наверное, телевизор ответит: “Без вашего согласия на слежку телевизор не будет работать”.

В адекватных законах говорилось бы, что телевизоры не должны сообщать о том, что просматривает пользователь — безо всяких исключений!
Термометры Nest высылают много данных о пользователе.
LG отключала сетевые функции в купленных до этого “интеллектуальных” телевизорах, если покупатели были не согласны, чтобы LG стала подглядывать за ними и распространять их личные данные.
Много больничного оборудования защищено паршиво, и это может быть смертельно.
В некоторых видах портативной памяти есть программы, которые можно изменять. Это делает их уязвимыми для вирусов.

Мы не называем это “черным ходом”, ведь то, что вы можете установить новую систему на компьютер, к которому у вас есть физический доступ — это нормально. Однако у карт памяти не должно быть возможности таких изменений.
Терминалы в местах продаж, работающие под управлением Windows, были взяты злоумышленниками под контроль и обращены в сеть сбора номеров кредитных карт клиентов.
Программы-шпионы в “умных” телевизорах LG докладывают о том, что смотрит пользователь, независимо от того, разрешено ли это в настройках телевизора (даже когда сервер отвечает квитанцией “страница не найдена” на высланные данные, это ничего не значит; эти данные все равно могут сохраняться на сервере LG).

Хуже того: телевизор подсматривает за другими устройствами по локальной сети пользователя.

Впоследствии LG заявила, что обновила программы, чтобы прекратить это, но шпионить таким образом может любой продукт.
Цифровое управление ограничениями есть на DVD и дисках Bluray.

На той странице употребляются вывернутые выражения, благоприятные для цифрового управления ограничениями, в том числе цифровое управление “правами” и “защита”, на странице утверждается, что за наложение цифрового управления ограничениями на эти диски ответственны в первую очередь “артисты”, а не компании. Как бы то ни было, статья служит источником фактических сведений.

На каждом диске Bluray (за немногими редкими исключениями) есть цифровое управление ограничениями; так что не пользуйтесь дисками Bluray!
Федеральная торговая комиссия наказала компанию за производство сетевых камер с такой слабой защитой, что каждый мог легко глядеть через них.
Перезаписываемые несвободные программы в контроллерах дисков могут заменяться несвободной программой. Это делает любую систему уязвимой по отношению к неустраняемым атакам, которые не обнаруживаются обычным анализом.
Получив контроль над вживленными медицинскими устройствами по радио, можно убивать людей. Подробности см. на сайте Би-Би-Си и в блоге лаборатории IOActive.
В системы “интеллектуальных домов”, оказывается, до идиотизма легко проникнуть.
В “приложениях для хранения данных” Hewlett-Packard, в которых применяется несвободная операционная система “Left Hand”, есть черные ходы, которые дают компании учетную запись для доступа по сети. Компания утверждает, что это не дает ей доступа к данным клиента, но раз черный ход позволяет изменять установленные программы, то их можно изменить так, чтобы программы предоставляли доступ к данным клиента.
Сетевые телефоны TNP Cisco шпионят.
“Интеллектуальные” телевизоры Samsung обратили Linux в базу для тиранической системы, чтобы навязывать цифровое управление ограничениями.Samsung может поступать так благодаря тому, что Linux выпускается под GNU GPL версии 2 а не версии 3, а также ослабленному толкованию GPL версии 2.
Взломщики нашли способ вскрыть защиту в “интеллектуальном” телевизоре и воспользоваться его видеокамерой, чтобы смотреть на людей, которые смотрят телевизор.
Некоторые телевизоры LG являются тиранами.