Правила домашньої автоматизації є більш ризикованими та менш ризикованими, ніж ми думали

За даними компанії з автоматизації дому IFTTT (ініціалізм If This, то That) близько 11 мільйонів людей використовують понад 1 мільярд правил автоматизації дому щомісяця у своїх будинках. Але дослідження 2017 року показало, що майже половина аплетів IFTTT може становити загрозу безпеці та конфіденційності для користувачів.

Виявляється, багато таких аплетів були теоретично ризикованими, але не такими небезпечними насправді. Але є й інші види загроз, про які слід знати користувачів.

Це висновки недавнього дослідження під керівництвом групи дослідників із університету «Карлагі Меллон» з CyLab. Отримані результати були представлені на симпозіумі щодо корисної конфіденційності та безпеки (SOUPS), який відбувся практично на початку цього місяця.

Хоча в попередньому дослідженні було встановлено, що велика частина апплетів IFTTT може піддавати приватній інформації користувачів загальну інформацію — порушення секретності — або надавати суб’єктам менш довіреного контролю над їх інформацією чи їхніми пристроями — порушення цілісності — це останнє дослідження виявило, що багато з цих ризиків не реалізуються в реальному світі.

"Є ще шанс на ризик у багатьох напрямках, але реально, користувачі в більшості своїй безпечні", — каже докторантура CyLab Каміл Кобб, яка очолила дослідження.

У ході дослідження команда зібрала та проаналізувала 732 аплети, встановлені 28 учасниками дослідження, та задала учасникам низку запитань щодо опитування, щоб краще зрозуміти свої аплети та способи їх використання. Команда використовувала інструмент, який викреслював конкретну інформацію про аплети учасників, включаючи вказану користувачем назву аплету.

Їх аналіз виявив багато випадків, коли аплет теоретично може призвести до порушення секретності або цілісності, але в конкретний спосіб використання аплету він насправді не може завдати шкоди.

Наприклад, багато учасників використовували аплети, які ділилися інформацією про дію в своїх будинках — наприклад, відкриття вікна або рух, виявлений на передньому під'їзді — до хмарної служби зберігання даних, як Google Sheets. Оскільки Google Техніки теоретично можуть бути загальнодоступними, оригінальний аналіз ризику, зроблений у цьому аплеті, може виявити можливе порушення конфіденційності.

"У кожному випадку, коли ми запитували, кожен користувач сказав, що не ділиться Google Sheet ні з ким іншим", — каже Кобб. "Це один із прикладів, коли ми думали, що можуть бути ризики, і вони, безумовно, можуть бути, але в більшості реалістичних сценаріїв, мабуть, немає".

Однак дослідники знайшли кілька реальних прикладів того, що вони називають «випадковими загрозами користувача», чогось попередні дослідження не виявили. Коротше кажучи, вони знайшли багато аплетів, які мали високі шанси збирати інформацію про людей, окрім користувачів, які їх встановили — інформацію, яка потенційно може бути викрадена або неправомірно використана.

"Було одне правило, яке називалося чимось таким чином:" Якщо хтось надішле мені SMS, збережіть вміст цього SMS-повідомлення в Google Sheet ", — говорить Кобб. "Люди, що надсилають мені текстові повідомлення, напевно, не передбачають, що все, що мені надішлють, буде збережено в такому вигляді. Можливо, їм це не комфортно".

Якщо вміст розмови про приватне текстове повідомлення існує у двох місцях, каже Кобб, це збільшує ризик випадкового обміну з більшою аудиторією.

Враховуючи ці результати, дослідники пропонують вказівки щодо створення кращого інструменту в майбутньому, який допоможе визначити ризиковані аплети. І хоча дослідження може загалом здатися чудовою новиною для більшості користувачів IFTTT, Кобб попереджає, що вони все ще повинні сприймати ризиковані аплети серйозно.

"Просто тому, що ми знайшли менше яблук, можливо, це ризиковано, ніж ми вважали раніше, це не означає, що ми не повинні докладати зусиль для того, щоб зробити ті, які є менш ризиковими", — каже Кобб.

Facebook Comments