Уязвимость несвободных программ

Это перевод страницы, написанной на английском языке.

Другие примеры вредоносных несвободных программ

Несвободные программы очень часто вредоносны (спроектированы несправедливо по отношению к пользователю). Несвободные программы контролируются своими разработчиками, что дает им власть над пользователями; это в корне несправедливо. Разработчики часто пользуются этой властью в ущерб пользователям, которых они должны обслуживать.

На этой странице перечислены достоверно установленные случаи уязвимости несвободных программ, которая имеет тяжкие последствия или которую следует отметить по другим причинам.

Было бы неверно сравнивать несвободные программы с умозрительной идеей свободных программ как совершенства. В любой нетривиальной программе есть недочеты, и в безопасности любой системы, свободной или несвободной, могут быть прорехи. Само по себе это не основание для обвинений. Но разработчики несвободных программ часто не обращают внимания на огромную брешь или даже вводят ее преднамеренно, а пользователи не в состоянии заделать ее.

Слабость защиты позволяет легко открывать двери 100 миллионов автомобилей, собранных компанией “Фольксваген”.
Для термостата с несвободными программами были разработаны вымогательские программы.
Уязвимость в Internet Explorer и Edge, позволяет злоумышленникам извлекать идентифицирующие данные учетных записей Microsoft, если пользователя обманом заставили перейти по вредоносной ссылке.
“Удаленные” сообщения WhatsApp удаляются не полностью. Их можно восстановить различными способами.
Уязвимость в интерфейсе Apple Image I/O позволила взломщику выполнять вредоносные программы из любого приложения, которое пользуется этим интерфейсом для отображения определенного рода графических файлов.
Ошибка в несвободной библиотеке ASN.1, применяемой на сотовых вышках, а также в телефонах и маршрутизаторах, позволяет получить контроль над этими системами.
В программах-антивирусах столько ошибок, что антивирусы ухудшают защиту.

GNU/Linux в антивирусах не нуждается.
В камерах наблюдения более 70 марок обнаружены недочеты безопасности, позволяющие кому угодно подглядывать через них.
В “интеллектуальном доме” компании Samsung есть большая прореха безопасности; люди могут получать несанкционированный удаленный контроль над ним.

Samsung заявляет, что это “открытая” платформа, так что за проблему частично ответственны разработчики приложений. Это, разумеется, верно, если эти приложения несвободны.

Все, что называется “интеллектуальным”, скорее всего, будет водить вас за нос.
В Nissan Leaf есть встроенный телефонный модем, позволяющий фактически кому угодно получать удаленный доступ к компьютерам и вносить изменения в различные настройки.

Это нетрудно потому, что в системе нет проверки подлинности пользователя при доступе по модему. Однако даже если бы модем проводил проверку, нельзя было бы быть уверенными, что у Nissan нет доступа. Программы в автомобиле несвободны, это значит, они требуют от пользователей слепой веры.

Даже если никто не подключается к автомобилю на расстоянии, модем сотовой связи позволяет телефонной компании постоянно отслеживать перемещения автомобиля; хотя можно физически удалить модем сотовой связи.
В видеокамерах систем безопасности, продаваемых через Amazon, найдены вредоносные программы.

Камера, которая записывает на свой физический носитель и у которой нет соединения с сетью, не угрожает людям слежкой — через нее за людьми не будут поглядывать, и вредоносные программы в камере в этом отношении тоже не представляют угрозы.
Ошибка в Messages, приложении для ай-штучек, позволила вредоносному сайту извлечь всю историю сообщений пользователя.
Многие несвободные программы платежей передают данные незащищенным образом. Однако еще хуже то, что в этих приложениях платежи не анонимны.
В физкультурных устройствах FitBit есть уязвимость Bluetooth, позволяющая посылать в устройства вредоносные программы, которые затем могут распространяться по компьютерам и другим устройствам FitBit, с которыми они взаимодействуют.
“Самошифрующиеся” жесткие диски шифруют с помощью несвободных внутренних программ, так что вы не можете им доверять. У дисков “My Passport” компании Western Digital есть черный ход.
В Mac OS X в течение 4 лет преднамеренно сохранялся черный ход, которым взломщики могли воспользоваться, чтобы получить права администратора.
Специалисты по безопасности обнаружили уязвимость в диагностических устройствах, применяемых для страхования и отслеживания маршрутов, которая позволяла им получить удаленный контроль над автомобилями посредством SMS.
Взломщикам удалось получить удаленный контроль над джипом “с соединением”.
Они могли следить за автомобилем, запускать и останавливать двигатель, включать и выключать тормоз, а также многое другое.

Я думаю, что Крайслер и АНБ тоже это могут.

Если у меня когда-нибудь будет машина и в ней будет мобильный телефон, я его выключу.
Инфузионные насосы Hospira, применяемые для ввода больным лекарств, были отмечены специалистом по безопасности как “самые плохо защищенные сетевые устройства из всех, какие я когда-либо видел”.

В случае некоторых препаратов это дает злоумышленнику возможность ввести пациенту смертельную дозу.
Из-за плохой защиты в инфузионном насосе взломщики могут использовать его для убийства пациентов.
АНБ может заглядывать в данные на смартфонах, в том числе на iPhone, Android и BlackBerry. Хотя подробности здесь не приводятся, похоже, это работает не как универсальный черный ход, который, как мы знаем, есть почти во всех мобильных телефонах. Это может быть связано с эксплуатацией различных ошибок. В программах радиоаппаратуры телефонов есть множество ошибок.
В системы “интеллектуальных домов”, оказывается, до идиотизма легко проникнуть.
уязвимость WhatsApp делает подслушивание проще простого.
Федеральная торговая комиссия наказала компанию за производство сетевых камер, безопасность которых была настолько плоха, что каждый легко мог глядеть через них.
Над некоторыми автомобильными компьютерыми можно получить контроль с помощью вредоносных программ в файлах с музыкой. А также по радио. Другие сведения можно найти на сайте Центра автомобильной безопасности и конфиденциальности.
Получив контроль над вживленными медицинскими устройствами по радио, можно убивать людей. Подробности см. на сайте Би-Би-Си и в блоге IOActive.
Много больничного оборудования защищено паршиво, и это может быть смертельно.
Терминалы в местах продаж, работающие под управлением Windows, были обращены злоумышленниками в сеть сбора номеров кредитных карт клиентов.
Приложение для предотвращения “кражи личности” (доступа к личным данным), хранившее данные пользователя на особом сервере, было выключено разработчиком этого приложения, который обнаружил брешь в защите.

Кажется, этот разработчик добросовестно защищает личные данные от третьих сторон вообще, но он не может защитить эти данные от государства. Совсем наоборот: передача ваших данных чужому серверу, если вы не шифруете их предварительно с помощью свободных программ, подрывает ваши права.
В некоторых видах портативной памяти есть программы, которые можно изменять. Это делает их уязвимыми для вирусов.

Мы не называем это “черным ходом”, потому что когда вы получаете физический доступ к компьютеру, вы, как правило, можете установить на нем новую систему. Однако у карт памяти и других носителей не должно быть возможности таких изменений.
Заменяемые несвободные программы на жестких дисках можно записывать несвободной программой. Это делает систему уязвимой для постянных атак, необнаружимых обычными средствами.
Многие приложения для смартфонов применяют небезопасные методы аутентификации при хранении ваших личных данных на удаленных серверах. Это подвергает опасности такую личную информацию, как адреса электронной почты, пароли, а также медицинские данные. Поскольку многие из этих приложений несвободны, трудно, если вообще возможно, узнать, какие приложения подвержены этому.