Reparadores flagrados espionando dados de clientes • The Register

Cientistas da computação afiliados à Universidade de Guelph, no Canadá, descobriram que os serviços de reparo de eletrônicos carecem de protocolos de privacidade eficazes e os técnicos costumam bisbilhotar os dados dos clientes.

Em um estudo de quatro partes distribuído via ArXiv, “Sem privacidade na indústria de reparos eletrônicos“, Jason Ceci, Jonah Stegman e Hassan Khan, pesquisadores da Universidade de Guelph, descrevem como testaram as políticas e práticas de privacidade das oficinas de conserto de eletrônicos.

A pesquisa consistiu em uma pesquisa de campo com 18 prestadores de serviços de reparo na América do Norte – três nacionais, três regionais e cinco locais, bem como dois prestadores nacionais de serviços de reparo de smartphones e cinco fabricantes de dispositivos.

Representantes dessas empresas – não identificadas no estudo devido aos requisitos de revisão de ética da universidade canadense – foram entrevistados para determinar se tinham políticas de privacidade e como lidavam com os dados dos clientes.

Em seguida, o pessoal de reparo foi instruído a realizar a substituição da bateria em laptops Asus UX330U executando o Microsoft Windows 10 – uma correção que não deve exigir credenciais de login ou acesso ao sistema operacional. No entanto, todas as empresas, exceto uma, solicitaram credenciais de login.

“Nenhum dos provedores de serviços publicou avisos informando os clientes sobre suas políticas de privacidade”, disse o jornal. “Da mesma forma, até a entrega dos dispositivos, nenhum pesquisador foi informado sobre uma política de privacidade, seus direitos como cliente ou como proteger seus dados”.

E depois que os laptops foram fornecidos, apenas os três provedores de serviços nacionais e os três provedores de serviços regionais ofereceram um documento de termos e condições para assinar. Pior ainda, esses contratos se isentavam de qualquer responsabilidade pela perda de dados.

Eu quero saber porque?

Depois de avaliar as políticas de privacidade dessas oficinas, os pesquisadores testaram as práticas de privacidade do mundo real dos técnicos, fornecendo laptops Windows falsos com dados fictícios para registrar secretamente como a equipe de reparos usava os dispositivos.

Os resultados não foram animadores: seis dos dezesseis técnicos espionaram dados de clientes e, em dois dos 16 testes, copiaram dados de clientes para dispositivos externos. Desses seis bisbilhoteiros, um técnico o fez de forma a evitar a geração de evidências, enquanto outros três tomaram medidas para ocultar suas atividades – os logs do dispositivo mostram que os técnicos infratores tentaram encobrir seus rastros excluindo itens em “Acesso rápido” ou “Recentemente “. Arquivos visualizados” no Microsoft Windows.

Em entrevista por telefone, Jason Ceci – pesquisador de segurança e coautor do artigo – disse O registro que as violações de privacidade mencionadas no jornal eram principalmente bisbilhotando fotos de clientes.

“Alguns deles estavam apenas navegando no histórico de navegação de alguém”, disse Ceci. “E então, em dois dos casos, eles estavam realmente copiando dados do dispositivo. Em um desses dois casos, acredito, eles estavam analisando dados financeiros.”

Isso afirmou que as oficinas avaliadas não foram identificadas no estudo, nem foram informadas sobre os achados dos pesquisadores. “Se disséssemos a eles que examinaríamos os logs e o que eles fariam a seguir, ficaríamos preocupados com uma possível reação dos pesquisadores que estavam [dropping the rigged devices off and providing personal information],” ele explicou.

As outras partes do estudo envolveram uma pesquisa online e entrevistas com consumidores para entender melhor como eles interagiam com os serviços de reparo. Os dados obtidos sugerem que cerca de um terço dos dispositivos quebrados não são reparados devido a preocupações de privacidade de seus proprietários.

Ceci e seus coautores dizem que há uma necessidade urgente de avaliar as políticas e práticas de privacidade no setor de reparos, que gera US$ 19 bilhões por ano. Eles citam relatos de violações de privacidade anteriores – como alegações de que os técnicos do Geek Squad da Best Buy serviram como informantes para o FBIbem como relatórios que Maçã e Equipe de geeks técnicos foram acusados ​​de roubar fotos de nus encontradas em dispositivos trazidos para reparo.

Ceci disse que os reguladores devem analisar o setor de reparos e considerar esclarecer as regras de privacidade para reparos de dispositivos. Ele também reiterou um ponto feito no trabalho de pesquisa sobre fabricantes de dispositivos adotando uma abordagem mais proativa para padronizar interfaces e permissões de diagnóstico. Ele apontou para o recente lançamento da Samsung “Modo de reparo– uma forma de proteger os dados do dispositivo durante os reparos – como um exemplo do tipo de dispositivo de proteção de privacidade que os fabricantes de dispositivos devem considerar. ®