Награда в 10 тысяч долларов: взломайте кольцевые камеры и заблокируйте данные Amazon

Появилась революционная проблема кибербезопасности, которая может изменить то, как устройства умного дома обеспечивают конфиденциальность пользователей. Фонд Фулу, некоммерческая организация, занимающаяся устранением враждебных пользователю функций в потребительских технологиях, объявила о существенной награде в размере 10 000 долларов США для исследователей безопасности и хакеров, которые смогут успешно предотвратить передачу данных с камер Ring на серверы Amazon. Задача, в частности, требует, чтобы любое решение сохраняло основные функции камеры, разрывая при этом ее подключение к инфраструктуре сбора данных Amazon.

Эта беспрецедентная программа вознаграждений подчеркивает растущую обеспокоенность по поводу конфиденциальности умного дома и обширных методов сбора данных крупных технологических компаний. Кольцевые камеры, принадлежащие Amazon с 2018 года, сталкиваются с растущей критикой со стороны защитников конфиденциальности, которые утверждают, что устройства собирают гораздо больше информации, чем необходимо для целей их безопасности. Камеры регулярно отправляют метаданные, шаблоны использования и потенциально конфиденциальную информацию обратно на облачные серверы Amazon, часто без полного понимания пользователями масштабов обмена данными.

Инициатива Fulu Foundation представляет собой новый подход к решению проблемы корпоративного наблюдения с помощью технологических решений, а не нормативных мер. В отличие от традиционных программ вознаграждения за обнаружение ошибок, которые сосредоточены на поиске уязвимостей безопасности, эта награда за конфиденциальность направлена ​​на расширение возможностей пользователей, предоставляя им контроль над своими устройствами. Фонд особо подчеркивает, что любое успешное решение не должно повредить или навсегда изменить оборудование Ring, что делает его привлекательным вариантом для потребителей, заботящихся о конфиденциальности, которые хотят сохранить свои существующие системы безопасности.

Эксперты по безопасности считают эту задачу особенно сложной, поскольку камеры Ring разработаны с использованием нескольких уровней протоколов шифрования и аутентификации, которые обеспечивают непрерывную связь с серверами Amazon. Попытки взлома кольцевой камеры в прошлом обычно были направлены на получение несанкционированного доступа к устройствам, а не на выборочную блокировку определенных передач данных при сохранении основных функций.

Технические требования для получения награды строгие и четко определенные. Успешные заявки должны продемонстрировать метод, который полностью предотвращает обмен какими-либо данными с камер Ring с серверами Amazon, сохраняя при этом такие важные функции, как обнаружение движения, запись видео, потоковая передача в реальном времени авторизованным пользователям и подключение к локальной сети. Решение не может включать физическую модификацию аппаратного обеспечения, повреждение прошивки или любой другой подход, который приведет к аннулированию гарантии на устройство или сделает его неработоспособным.

Исследователи конфиденциальности выявили несколько потенциальных подходов к решению проблемы, хотя каждый из них представляет собой уникальные технические препятствия. Блокировка на уровне сети через конфигурацию маршрутизатора представляет собой один из возможных способов, но серверы Amazon используют несколько IP-адресов и потенциально могут обойти базовые методы фильтрации. Модификация прошивки предлагает другой путь, но устройства Ring используют безопасные процессы загрузки и зашифрованную прошивку, что делает несанкционированные изменения чрезвычайно трудными для реализации без запуска защитных механизмов.

Объявление о вознаграждении вызвало значительный интерес в сообществе кибербезопасности, где многие профессионалы рассматривают его как возможность продвинуть более широкий разговор о правах пользователей в эпоху Интернета вещей. Несколько известных исследователей в области безопасности уже заявили о своем намерении принять участие, отметив, что эта задача связана с растущими усилиями отрасли по предоставлению потребителям большего контроля над подключенными к ним устройствами.

Amazon пока не отреагировала публично на программу вознаграждений Fulu Foundation, но ранее компания защищала методы сбора данных Ring как необходимые для предоставления облачных функций и повышения производительности устройств. Компания утверждает, что пользователи могут отказаться от передачи определенных данных через настройки конфиденциальности, хотя критики утверждают, что эти элементы управления недостаточны и часто скрыты в сложных системах меню, которые препятствуют их использованию.

Юридические последствия программы вознаграждений привлекли внимание экспертов по технологическому праву, которые отмечают, что проблема возникает в сложной нормативно-правовой среде. Хотя Закон об авторском праве в цифровую эпоху и другие законы обычно запрещают обходить меры безопасности на потребительских устройствах, Фонд Фулу утверждает, что пользователи должны иметь право контролировать передачу данных с устройств, которыми они владеют. Эта позиция согласуется с недавними движениями за право на ремонт и растущей законодательной поддержкой прав владения потребительскими устройствами.

Отраслевые аналитики предполагают, что успешное решение проблемы кольца может иметь далеко идущие последствия для других устройств умного дома, в которых используются аналогичные методы сбора данных. Такие компании, как Google, Apple и Facebook, производят продукты для подключенного дома, которые регулярно передают пользовательские данные на корпоративные серверы, часто для целей, выходящих за рамки основных функций устройств. Проверенный метод выборочной блокировки таких передач потенциально может быть адаптирован для использования с продукцией других производителей.

Сумма вознаграждения в 10 000 долларов отражает техническую сложность и потенциальное влияние проблемы. Предыдущие программы вознаграждений, ориентированные на конфиденциальность, обычно предлагали меньшие вознаграждения за менее сложные цели. Фонд Фулу указал, что выбрал эту сумму, чтобы привлечь серьезное внимание со стороны квалифицированных специалистов по безопасности, которые в противном случае могли бы сосредоточить свои усилия на более традиционных программах вознаграждения за обнаружение ошибок, предлагаемых крупными корпорациями.

Участники программы вознаграждения должны предоставить подробную документацию своих методов, включая пошаговые инструкции, которые позволят другим пользователям реализовать решение самостоятельно. Фонд подчеркивает, что работы-победители должны быть доступны пользователям с умеренными техническими навыками, а не требовать передовых сетевых или программных знаний, которые ограничивают их практическое применение.

Сроки реализации программы вознаграждений остаются открытыми, и Фонд Фулу заявляет, что продолжит принимать заявки до тех пор, пока не будет продемонстрировано и проверено жизнеспособное решение. Организация собрала группу независимых экспертов по безопасности, которые будут оценивать представленные материалы на основе технической эффективности, доступности для пользователей и долгосрочной устойчивости. Выигрышные решения должны продолжать функционировать даже тогда, когда Amazon выпускает обновления прошивки или модифицирует свою серверную инфраструктуру.

Предварительный анализ, проведенный исследователями безопасности, показывает, что наиболее многообещающие подходы могут включать сложные методы сетевого перехвата в сочетании с выборочной фильтрацией пакетов. Однако использование Amazon зашифрованных соединений и закрепления сертификатов на устройствах Ring создает существенные препятствия для таких методов. Альтернативные подходы, ориентированные на манипулирование DNS или локальные прокси-серверы, сталкиваются с аналогичными проблемами, связанными со встроенными мерами безопасности устройств.

Более широкие последствия этой проблемы выходят за рамки технических соображений и затрагивают фундаментальные вопросы о правах потребителей и практике использования корпоративных данных. Защитники конфиденциальности рассматривают программу вознаграждений как практическую демонстрацию того, что пользователей не следует заставлять мириться с инвазивным сбором данных как неизбежным следствием использования современных подключенных устройств. Программа также подчеркивает потенциал широких технических решений для решения проблем конфиденциальности, которые оказалось трудно решить с помощью традиционных подходов регулирования.

Поскольку сообщество кибербезопасности продолжает анализировать технические требования и разрабатывать потенциальные решения, награда Фонда Фулу представляет собой уникальное сочетание защиты конфиденциальности, технических инноваций и расширения прав и возможностей потребителей. Конечный успех или провал программы может повлиять на то, как будут решаться будущие проблемы конфиденциальности и станут ли подобные программы вознаграждений стандартным инструментом продвижения прав пользователей в эпоху цифровых технологий.