@ 2022.11.28 , 21:00

加拿大调查发现,送修电脑或手机,维修人员有不小几率会窥探用户的隐私数据

加拿大圭尔夫大学的计算机科学家发现,电子维修服务缺乏有效的隐私协议,技术人员经常窥探客户的隐私数据。

在他们的论文《No Privacy in the Electronics Repair Industry》里 ,圭尔夫大学的研究员 Jason Ceci、Jonah Stegman 和 Hassan Khan 记录了他们对电子产品维修店的隐私政策和实际做法的调查结果。

实地调查对象包括北美 18 家维修服务提供商,其中包括 3 家国家服务提供商、3 家地区服务提供商和 5 家本地服务提供商,以及两家国家智能手机维修服务提供商和5家设备制造商。

这些公司——由于加拿大大学的道德审查要求而未具名——被询问以确定他们是否有隐私政策,以及他们如何处理客户数据。

然后,维修人员被要求为 装有Microsoft Windows 10的华硕UX330U笔记本电脑更换电池——该修复不需要登录凭据或操作系统访问权限。然而,除了一家公司之外,所有公司都要求提供登录凭据。

“没有一家服务提供商发布任何通知,向客户告知隐私政策。同样,在托付设备之前,没有研究人员被告知隐私政策、他们作为客户的权利或如何保护他们的数据。”

只有三个国家和三个地区服务提供商提供了要签署的条款和文件。更糟糕的是,合同不承担任何数据丢失的责任。

在评估了维修店的隐私政策后,研究人员测试了技术人员的实际做法:交给他们安装了带有虚拟数据的笔记本电脑,可以记录维修人员的实际操作。

结果并不令人鼓舞:16名技术人员中有6人窥探了客户的数据,并且在16项测试中的两项里,将客户数据复制到了外部设备上。在这6名窥探者中,1名技术人员还用了一种防止留下证据的做法;同时还有3人采取隐瞒手段——设备日志显示违规技术人员试图通过删除“快速访问”或“最近”中的项目来隐藏他们的访问记录。

安全研究员兼论文的合著者 Jason Ceci 告诉 The Register,他们发现的侵权行为主要是窥探客户的照片。

“他们中的一些人会浏览某人的网页浏览历史。”Ceci说。

该研究的其他部分涉及在线调查和对消费者的采访。数据表明,用户出于隐私顾虑,大约三分之一的损坏设备没有得到修复。

Ceci 和他的合著者认为,迫切需要评估维修行业的隐私政策和做法,该行业每年制造190亿美元的收入。他们引用了有关过去侵犯隐私的报道——比如Best Buy的 Geek Squad 技术人员充当 FBI 的线人,以及苹果和 Geek Squad 技术人员被指控窃取客户设备上的裸照。

Ceci 表示,监管机构应该关注维修行业,并考虑明确设备维修的隐私规则。他指出三星最近推出的“修复模式”——一种在维修期间保护设备上数据的方法——可以供其它企业参考。

https://www.theregister.com/2022/11/15/repair_technicians_data/


支付宝打赏 [x]
您的大名: 打赏金额:

赞一个 (8)