real time web analytics

Técnicos de reparación atrapados husmeando en los datos de los clientes • The Register

Los informáticos afiliados a la Universidad de Guelph de Canadá han descubierto que los servicios de reparación de productos electrónicos carecen de protocolos de privacidad efectivos y que los técnicos a menudo husmean en los datos de los clientes.

En un estudio de investigación de cuatro partes distribuido a través de ArXiv, “Sin privacidad en la industria de reparación de productos electrónicos”, los investigadores de la Universidad de Guelph, Jason Ceci, Jonah Stegman y Hassan Khan, describen cómo probaron las políticas y prácticas de privacidad de los talleres de reparación de productos electrónicos.

La investigación consistió en una encuesta de campo de 18 proveedores de servicios de reparación en América del Norte: tres proveedores de servicios nacionales, tres regionales y cinco locales, así como dos proveedores nacionales de servicios de reparación de teléfonos inteligentes y cinco fabricantes de dispositivos.

Se preguntó a los representantes de estas empresas, no identificados en el estudio como consecuencia de los requisitos de revisión ética de la universidad canadiense, para determinar si tienen políticas de privacidad y cómo tratan los datos de los clientes.

Luego, se le pidió al personal de reparación que reemplazara la batería de las computadoras portátiles Asus UX330U con Microsoft Windows 10, una solución que no debería requerir credenciales de inicio de sesión o acceso al sistema operativo. Sin embargo, todas menos una de las empresas pidieron credenciales de inicio de sesión.

“Ninguno de los proveedores de servicios publicó ningún aviso informando a los clientes sobre sus políticas de privacidad”, dice el periódico. “Del mismo modo, hasta que se entregaron los dispositivos, ningún investigador fue informado sobre una política de privacidad, sus derechos como cliente o cómo proteger sus datos”.

Y una vez que se proporcionaron las computadoras portátiles, solo los tres proveedores de servicios nacionales y tres regionales ofrecieron un documento de términos y condiciones para ser firmado. Peor aún, estos contratos renunciaban a la responsabilidad por cualquier pérdida de datos.

Tabla de contenido

¿Me pregunto porque?

Después de evaluar las políticas de privacidad de estos talleres de reparación, los investigadores probaron las prácticas de privacidad reales de los técnicos al proporcionarles computadoras portátiles con Windows manipuladas con datos ficticios para registrar en secreto cómo el personal de reparación usaba los dispositivos.

Los resultados no fueron alentadores: seis de los dieciséis técnicos espiaron los datos de los clientes y, en dos de las 16 pruebas, copiaron los datos de los clientes a dispositivos externos. Entre estos seis fisgones, un técnico lo hizo para evitar generar pruebas, mientras que otros tres tomaron medidas para ocultar sus actividades: los registros del dispositivo muestran que los técnicos infractores intentaron ocultar sus pistas eliminando elementos en “Acceso rápido” o “Recientemente”. Archivos accedidos” en Microsoft Windows.

En una entrevista telefónica, Jason Ceci, investigador de seguridad y coautor del artículo, dijo El registro que las violaciones de la privacidad a las que se hace referencia en el documento eran principalmente husmear en las fotos de los clientes.

“Algunos de ellos simplemente estaban revisando el historial de navegación de alguien”, dijo Ceci. “Y luego, en dos de los casos, en realidad estaban copiando los datos del dispositivo. En uno de esos dos casos, creo, estaban revisando datos financieros”.

Ceci dijo que los talleres de reparación evaluados no fueron identificados en el estudio y que tampoco fueron informados de los hallazgos de los investigadores. “Si les decíamos que íbamos a revisar los registros y lo que hicieron después, nos preocupaba la posible reacción negativa de los investigadores que estaban [dropping the rigged devices off and providing personal information],” él explicó.

Las otras partes del estudio incluyeron una encuesta en línea y entrevistas con los consumidores para comprender mejor cómo interactuaban con los servicios de reparación. Los datos obtenidos sugieren que alrededor de un tercio de los dispositivos averiados no se reparan debido a la preocupación por la privacidad de sus propietarios.

Ceci y sus coautores argumentan que existe una gran necesidad de evaluar las políticas y prácticas de privacidad en la industria de la reparación, que genera $19 mil millones al año. Citan informes sobre violaciones de privacidad pasadas, como afirmaciones de que los técnicos de Geek Squad de Best Buy sirvieron como informantes para el FBI, así como informes de que los técnicos de Apple y Geek Squad han sido acusados ​​​​de robar fotografías de desnudos encontradas en dispositivos traídos para reparación.

Ceci dijo que los reguladores deberían observar la industria de reparación y considerar aclarar las reglas de privacidad para las reparaciones de dispositivos. También reiteró un punto señalado en el documento de investigación sobre los fabricantes de dispositivos que adoptan un enfoque más proactivo para estandarizar las interfaces y los permisos de diagnóstico. Señaló el “Modo de reparación” recientemente introducido por Samsung, una forma de proteger los datos del dispositivo durante las reparaciones, como un ejemplo del tipo de protección de la privacidad que los fabricantes de dispositivos deberían considerar. ®

Leave a Comment