Técnicos de reparo pegos espionando dados de clientes • The Register

Cientistas da computação afiliados à Universidade de Guelph, no Canadá, descobriram que os serviços de reparo de eletrônicos carecem de protocolos de privacidade eficazes e os técnicos costumam bisbilhotar os dados dos clientes.

Em um estudo de quatro partes distribuído via ArXiv, “Sem privacidade na indústria de conserto de eletrônicos“, Os pesquisadores da Universidade de Guelph, Jason Ceci, Jonah Stegman e Hassan Khan, descrevem como testaram as políticas e práticas de privacidade das oficinas de conserto de eletrônicos.

A pesquisa consistiu em uma pesquisa de campo com 18 provedores de serviços de reparo na América do Norte – três provedores de serviços nacionais, três regionais e cinco locais, bem como dois provedores nacionais de serviços de reparo de smartphones e cinco fabricantes de dispositivos.

Representantes dessas empresas – não identificadas no estudo devido aos requisitos de revisão ética da universidade canadense – foram entrevistados para determinar se elas tinham políticas de privacidade e como lidavam com os dados dos clientes.

Em seguida, a equipe de reparos foi instruída a realizar a substituição da bateria em laptops Asus UX330U executando o Microsoft Windows 10 – uma correção que não deve exigir credenciais de login ou acesso ao sistema operacional. No entanto, todas as empresas, exceto uma, solicitaram credenciais de login.

“Nenhum dos provedores de serviços publicou avisos informando os clientes sobre suas políticas de privacidade”, disse o jornal. “Da mesma forma, até a entrega dos dispositivos, nenhum pesquisador foi informado sobre uma política de privacidade, seus direitos como cliente ou como proteger seus dados.”

E depois que os laptops foram fornecidos, apenas os três provedores de serviços nacionais e os três provedores de serviços regionais ofereceram um documento de termos e condições para assinar. Pior ainda, esses contratos isentavam-se de qualquer responsabilidade pela perda de dados.

Eu quero saber porque?

Depois de avaliar as políticas de privacidade dessas oficinas, os pesquisadores testaram as práticas de privacidade dos técnicos no mundo real, fornecendo a eles laptops falsificados do Windows com dados fictícios para registrar secretamente como a equipe de reparos usava os dispositivos.

Os resultados não foram animadores: seis dos dezesseis técnicos espionaram os dados dos clientes e, em dois dos 16 testes, copiaram os dados dos clientes para dispositivos externos. Desses seis bisbilhoteiros, um técnico o fez de forma a evitar a geração de provas, enquanto outros três tomaram medidas para ocultar suas atividades – os logs do dispositivo mostram que os técnicos infratores tentaram encobrir seus rastros apagando itens em “Acesso rápido” ou “Recentemente “. Arquivos visualizados” no Microsoft Windows.

Em entrevista por telefone, Jason Ceci – pesquisador de segurança e coautor do artigo – disse O registro que as violações de privacidade mencionadas no jornal estavam principalmente bisbilhotando fotos de clientes.

“Alguns deles estavam apenas navegando no histórico de navegação de alguém”, disse Ceci. “E então, em dois dos casos, eles estavam realmente copiando dados do dispositivo. Em um desses dois casos, acredito, eles estavam passando por dados financeiros.”

Este afirmou que as oficinas avaliadas não foram identificadas no estudo, nem foram informadas das descobertas dos pesquisadores. “Se disséssemos a eles que iríamos examinar os registros e o que eles fariam a seguir, ficaríamos preocupados com uma possível reação dos pesquisadores que estavam [dropping the rigged devices off and providing personal information],” ele explicou.

As outras partes do estudo envolveram uma pesquisa online e entrevistas com os consumidores para entender melhor como eles interagiam com os serviços de reparo. Os dados obtidos sugerem que cerca de um terço dos dispositivos quebrados não são reparados devido a preocupações com a privacidade de seus proprietários.

Ceci e seus coautores dizem que há uma necessidade extrema de avaliar políticas e práticas de privacidade na indústria de reparos, que gera US$ 19 bilhões por ano. Eles citam relatórios de violações de privacidade anteriores – como alegações de que os técnicos do Geek Squad da Best Buy serviram como informantes para o FBIbem como relata que Maçã e time de geeks técnicos foram acusados ​​de roubar fotos nuas encontradas em dispositivos trazidos para reparo.

Ceci disse que os reguladores devem examinar o setor de reparos e considerar esclarecer as regras de privacidade para reparos de dispositivos. Ele também reiterou um ponto feito no trabalho de pesquisa sobre os fabricantes de dispositivos adotando uma abordagem mais proativa para padronizar interfaces e permissões de diagnóstico. Ele apontou para o recente lançamento da Samsung “Método de reparo– uma forma de proteger os dados no dispositivo durante reparos – como um exemplo do tipo de dispositivos de proteção de privacidade que os fabricantes de dispositivos devem considerar. ®