Možda neko gleda vaše privatne fotografije dok se vaš uređaj popravlja?
Vjerovatno je svako oštetio svoj pametni telefon, tablet ili laptop i morao ga je popraviti barem jednom u životu. Uzrok štete može biti vlastita aljkavost korisnika: zamjena pokvarenih ekrana pametnih telefona donijela je industriji nebrojene milijarde dolara. Ali češće se radi samo o nasumičnom kvaru poput kvara baterije, kvara tvrdog diska ili skidanja tipke s tastature. A to se može dogoditi bilo kada.
Nažalost, moderni uređaji su napravljeni tako da čak ni najspretniji kompjuterski čarobnjaci često nisu u stanju da ih sami poprave. Popravljivost pametnih telefona stalno se smanjuje iz godine u godinu. Da biste popravili najnovije modele, potrebna je ne samo vještina i opće razumijevanje kako funkcionišu sve vrste digitalnih sprava; također su vam sada potrebni specijalni alati, stručnost i pristup dokumentaciji plus jedinstveni rezervni dijelovi.
Stoga, kada se pametni telefon ili laptop pokvari, korisnik obično nema mnogo izbora osim da pronađe servisni centar. Na kraju krajeva, jednostavno baciti svoj pokvareni uređaj, kupiti drugi i normalno početi ispočetka nije opcija jer biste vjerojatno željeli oporaviti sve podatke koji su bili na njemu. Dakle, idemo u servisni centar kojem ste na čelu. Ali postoji problem: morate dati svoj uređaj u ruke stranca. Fotografije i video zapisi, istorija prepiske i poziva, dokumenti i finansijske informacije mogu na kraju biti direktno dostupni nekome koga ne poznajete. Može li se ovoj osobi vjerovati?
Gledanje domaće pornografije u radionicama je stvar
Ja sam lično malo ozbiljno razmislio o ovome nakon onoga što mi je rekao prijatelj. Neformalno je razgovarao s nekim momcima koji su radili u maloj radionici. Rekli su mu bez imalo zadrške kako povremeno održavaju gledanje domaće pornografije koja se nalazi na uređajima koje popravljaju zaposlenima i njihovim prijateljima!
Slični incidenti se s vremena na vrijeme pojavljuju u vijestima. Zaposleni koji kradu privatne fotografije kupaca pronađeni su u više servisnih centara . A ponekad se pojave i veće priče : u jednom slučaju zaposlenici servisnih centara ne samo da su godinama krali fotografije mušterija, već su i sastavljali čitave kolekcije i dijelili ih.
Ali, sigurno su takvi incidenti izuzeci od uobičajene prakse? Nema svaki servisni centar osoblje koje želi da se dočepa ličnih podataka kupaca, zar ne? Nažalost, rezultati studije na koju sam nedavno došao pokazuju da su kršenja privatnosti korisnika od strane tehničara za održavanje mnogo češći problem nego što bismo svi željeli misliti. U stvari, čini se vrlo vjerojatnim da je pretjerana radoznalost od strane servisera karakteristika ove industrije, a ne izolirani nečuveni incidenti. Ali nemojmo pretrčavati. Provest ću te kroz sve to korak po korak.
Kako usluge popravke elektronike tretiraju podatke svojih kupaca
Studiju su sproveli istraživači sa Univerziteta Guelph u Kanadi. Sastoji se od četiri dijela, od kojih su dva posvećena analizi razgovora sa korisnicima servisa, a dva su bila terenska istraživanja u samim servisima (na koje ću se ovdje fokusirati). U prvom od “terenskih” dijelova, istraživači su pokušali otkriti kako se servisne radionice odnose prema privatnosti u smislu svojih namjera. Prvo i najvažnije, istraživače je zanimalo koje politike privatnosti ili procedure imaju uslužne radnje da bi zaštitile podatke kupaca.
Da bi to učinili, istraživači su posjetili skoro 20 servisnih radnji različitih tipova (od malih lokalnih servisera do regionalnih i nacionalnih pružatelja usluga). Razlog svake posjete je zamjena baterije u laptopu ASUS UX330U. Razlog za izbor kvara bio je jednostavan: dijagnosticiranje problema i njegovo rješavanje ne zahtijeva pristup operativnom sistemu, a svi potrebni alati za to nalaze se u UEFI laptopa (istraživači koriste staromodni termin BIOS) .
Posjete istraživača servisnim centrima uključivale su nekoliko koraka. Prvo su tražili bilo koju informaciju koja je bila dostupna korisniku u vezi sa politikom privatnosti podataka servisnog centra. Drugo, provjerili su da li će zaposlenik koji uzima uređaj tražiti korisničko ime i lozinku za prijavu na operativni sistem i, ako jeste, kako bi opravdali potrebu da predaju te informacije (nema očiglednog razloga za to, jer, kao što je navedeno, zamena baterije ne zahteva pristup operativnom sistemu). Treće, istraživači su primijetili kako je pohranjena lozinka za uređaj koji je predan na popravku. Konačno, četvrto, postavili su zaposleniku koji preuzima opremu direktno i nedvosmisleno pitanje: „Kako se pobrinuti da niko neće pristupiti mojim ličnim podacima?“ da saznate koje su politike privatnosti i protokoli na snazi.
Rezultati ovog dijela studije bili su razočaravajući.
- Nijedna od servisnih radnji koje su posjetili istraživači nije obavijestila “kupce” o bilo kojoj politici privatnosti prije nego što je prihvatio uređaj.
- Osim jednog regionalnog centra, sve službe su tražile lozinku za prijavu – uz obrazloženje da je to jednostavno potrebno ili za dijagnostiku ili popravku, ili za provjeru kvaliteta pruženih usluga (što, kao što je gore navedeno, nije slučaj).
- Na pitanje da li je moguće izvršiti zamjenu baterije bez lozinke, sva tri nacionalna provajdera odgovorila su “ne”. U pet manjih servisa rekli su da bez lozinke neće moći da provere kvalitet obavljenog posla i zbog toga su odbili da preuzmu odgovornost za rezultate popravke. Druga trgovina je predložila potpuno uklanjanje lozinke ako je kupac ne želi podijeliti! I na kraju, zadnja posjećena radnja je rekla da ako im se ne da lozinka, uređaj može biti resetovan na fabrička podešavanja ako tehničar za održavanje to treba da uradi.
- Što se tiče skladištenja akreditiva, oni su u gotovo svim slučajevima pohranjeni u elektronsku bazu podataka zajedno sa imenom, brojem telefona i e-mail adresom korisnika, ali nije bilo objašnjenja ko može pristupiti ovoj bazi.
- U otprilike polovini slučajeva, akreditivi su bili i fizički vezani za laptop koji je predat na popravku. Bilo je odštampano i zakačeno kao naljepnica (u slučaju većih usluga), ili jednostavno napisano rukom na samoljepljivoj noti – to je klasično! Tako bi se činilo da bi bilo ko od zaposlenih u servisima (možda čak i povremeni posetioci) mogao imati pristup lozinkama.
- Na pitanje kako će biti zagarantovana privatnost podataka, zaposlenik koji je prihvatio uređaj i ostalo osoblje za popravku dali su uveravanja da će samo tehničar koji popravlja uređaj imati pristup njemu. Međutim, daljnja istraživanja su pokazala da ne postoji mehanizam koji bi to mogao garantovati; o tome je trebalo imati samo njihovu riječ.
Dakle, šta tehničari za održavanje rade sa ličnim podacima kupaca?
Nakon što su otkrili da servisni centri nemaju mehanizme da obuzdaju radoznalost svojih stručnjaka, u sljedećem dijelu studije istraživači su počeli ispitivati šta se zapravo događa s uređajem nakon što je predat na popravku. Da bi to uradili, kupili su šest novih laptopa i simulirali osnovni problem sa audio drajverom na njima. Jednostavno su ga isključili. Stoga je za “popravku” bila potrebna samo površinska dijagnostika i brzo otklanjanje problema uključivanjem. Ovaj konkretan kvar je izabran jer, za razliku od drugih usluga (kao što je uklanjanje virusa iz sistema), “popravljanje” audio drajvera ne zahteva nikakav pristup korisničkim fajlovima.
Istraživači su izmislili fiktivne korisničke identitete na laptopima (muški korisnici u prvoj polovini eksperimenta i žene u drugoj polovini). Napravili su istoriju pretraživača, e-poštu i račune za igre i dodali razne fajlove – uključujući fotografije eksperimentatora. Dodan je i prvi “mamac”: fajl sa akreditivima za novčanik kriptovaluta. Drugi mamac je bio zaseban folder koji je sadržavao blago eksplicitne slike. Istraživači su za eksperiment koristili stvarne ženske kodirane slike od korisnika Reddita (naravno, nakon prethodnog pristanka).
Konačno, i što je najvažnije, prije nego što su laptopi predati servisu, istraživači su uključili Windows Problem Steps Recorder uslužni program, koji snima svaku radnju izvršenu na uređaju. Nakon toga, laptopovi su proslijeđeni “na popravku” u 16 servisnih centara. Opet, da bi dobili potpunu sliku, istraživači su posjetili i male lokalne usluge i centre velikih regionalnih ili nacionalnih provajdera. Pol „mušterija“ bio je ravnomerno raspoređen: u osam slučajeva uređaji su konfigurisani sa izmišljenom ženskom osobom, au ostalih osam – sa muškom.
Evo šta su istraživači otkrili:
- Uprkos jednostavnosti, problem sa audio drajverom je rešen u prisustvu “kupca” nakon kratkog čekanja u samo dva slučaja. U svim ostalim eksperimentima, laptopove su morali ostaviti barem do sljedećeg dana. A servisni centri nacionalnih pružalaca usluga držali su ih na “popravci” najmanje dva dana.
- Za dva lokalna servisa nije bilo moguće prikupiti zapisnike o postupanju servisera. U jednom slučaju nije se mogao pronaći vjerojatan razlog za to. U drugom, istraživačima je rečeno da tehničari za održavanje moraju pokrenuti antivirusni softver na uređaju i očistiti njegov disk zbog više virusa (istraživači su bili potpuno sigurni da u vrijeme ispadanja, laptop nije mogao biti zaražen) .
U drugim slučajevima, istraživači su bili u mogućnosti da istraže dnevnike; evo njihovih nalaza:
- Među preostalim evidencijama, istraživači su pronašli šest slučajeva u kojima su serviseri dobili pristup ličnim datotekama ili istoriji pretraživača. U četiri slučaja to je zabilježeno na “ženskim” laptopima; druga dva – na “muškim”.
- U polovini incidenata, radoznali zaposlenici servisnih centara pokušali su sakriti tragove svojih radnji brisanjem liste nedavno otvorenih Windows datoteka.
- Osoblje za popravku najviše je zanimalo fascikle sa slikama. Njihov sadržaj (uključujući eksplicitne fotografije) pregledan je u pet slučajeva. Četiri laptopa u ovim slučajevima su „pripadala” ženskim, a drugi – muškim.
- Istorija pretraživača je bila predmet interesovanja za dva laptopa – oba “pripadaju” muškarcima.
- Finansijski podaci su pregledani jednom – na “muškom” uređaju.
- U dva slučaja tehničari za održavanje su kopirali korisničke datoteke na vanjski uređaj. Oba puta su to bile eksplicitne fotografije, au jednom slučaju dodani su i navedeni finansijski podaci.
Kako se zaštititi od radoznalih tehničara za održavanje
Naravno, treba imati na umu da je ovo kanadska studija. Ne bi bilo u redu projektovati njegove rezultate na sve zemlje. Ipak, nekako sumnjam da je situacija generalno u svijetu mnogo bolja. Vjerovatno je da servisni centri u većini zemalja, baš kao i u Kanadi, nemaju uvjerljive mehanizme koji bi spriječili svoje zaposlenike da krše privatnost korisnika. Takođe je vjerovatno da takvi zaposlenici iskorištavaju nedostatak ograničenja koje postavljaju njihovi poslodavci kako bi ušli u lične podatke kupaca – posebno žena.
Dakle, prije nego što odnesete uređaj u servisni centar, vrijedi se malo pripremiti:
- Obavezno napravite potpunu sigurnosnu kopiju svih podataka koji se nalaze na uređaju na vanjskom uređaju za pohranu ili u oblaku (ako je moguće, naravno). Uobičajena je praksa da servisni centri ne garantuju sigurnost podataka o klijentima, tako da možete izgubiti vrijedne datoteke u toku popravke.
- U idealnom slučaju, vaš uređaj bi trebao biti potpuno očišćen od svih podataka i resetiran na tvorničke postavke prije nego što ga odnesete na popravku. Na primjer, to je upravo ono što Apple preporučuje da radite .
- Ako čišćenje i priprema uređaja za servis nije moguće (na primjer, ekran vašeg pametnog telefona je pokvaren), pokušajte pronaći servis koji će sve učiniti brzo i direktno ispred vas. Manji centri su obično fleksibilniji u tom pogledu.
- Što se tiče laptopa, može biti dovoljno sakriti sve povjerljive informacije u kripto kontejneru (na primjer, korištenjem sigurnosnog rješenja ), ili barem u arhivi zaštićenoj lozinkom.
- Vlasnici Android pametnih telefona trebali bi koristiti funkciju zaključavanja aplikacija u Kaspersky Premium za Android . Omogućava zaključavanje svih vaših aplikacija pomoću posebnog pin koda koji ni na koji način nije povezan s onim koji se koristi za otključavanje vašeg pametnog telefona.
Alanna Titterington
- Preuzeto sa https://www.kaspersky.com/blog/author/alannatitterington/