Cerca
Cerca solo tra i titoli
Da:
Cerca solo tra i titoli
Da:
Mag
Forum
Nuovi Messaggi
Cerca...
Iscritti
Visitatori online
Nuovi Messaggi Profilo
Cerca tra i Messaggi Profilo
Novità
Nuovi Messaggi
Nuovi media
Nuovi commenti media
Nuovi Messaggi Profilo
New classifieds items
Ultime Attività
New classifieds comments
Mercatino
New items
New comments
Latest reviews
Search classifieds
TrainingCamp
Trailguide
Itinerari
Pianificazione
MTB
Media
Nuovi media
Nuovi commenti
Cerca media
Accedi
Registrati
Cerca
Cerca solo tra i titoli
Da:
Cerca solo tra i titoli
Da:
Nuovi Messaggi
Cerca...
Iscritti
Visitatori online
Nuovi Messaggi Profilo
Cerca tra i Messaggi Profilo
Menu
Install the app
Installa
Rispondi alla Discussione
Dopo il video in cui parlavo sul perché la tua ebike consumi così tanto, ecco una guida su come impostare il Bosch CX5 affinché abbia più autonomia.
Iscriviti al canale se non l'hai ancora fatto
(clicca qui)
.
Forum
Tecnica
Software ed elettronica
Sicurezza dati (estratto da Sistema Avinox M1 - thread ufficiale)
JavaScript è disabilitato. Per una migliore esperienza di navigazione attivalo nel tuo programma o nella tua app per navigare prima di procedere.
Stai usando un browser molto obsoleto. Puoi incorrere in problemi di visualizzazione di questo e altri siti oltre che in problemi di sicurezza. .
Dovresti aggiornarlo oppure
usarne uno alternativo, moderno e sicuro
.
Testo
<blockquote data-quote="apollokid" data-source="post: 561035" data-attributes="member: 21461"><p>Corretto, non è sensibile ma personale stando al regolamento GDPR</p><p>Con sensibile mi riferivo al fatto che per noi che siamo appassionati di biciclette è un dato molto da trattare con molta più delicatezza rispetto ad altri dati personali come il paese di nascita o un indirizzo email per il motivo che avevo citato.</p><p>Ci sarà un motivo credo se le applicazioni che registrano le proprie uscite dispongono di funzionalità per nascondere l'inizio e fine attività. E già qui per dire anche Strava si era scottata con il problema delle Heatmap, ma se posso permettermi, il problema evidenziato dal ricercatore sul robot aspirapolvere della DJI va ben al di là delle classiche vulnerabilità che per essere sfruttate richiedono chissà quali competenze informatiche.</p><p></p><p>Riporto un estratto dell'artiticolo che avevo postato (e che ricito nuovamente visto che non è stato spostato nel nuovo topic <a href="https://www.dday.it/redazione/56278/la-falla-dei-robot-lavapavimenti-dji-romo-apre-un-serio-interrogativo-sulla-sicurezza-di-quello-che-abbiamo-in-casa" target="_blank">https://www.dday.it/redazione/56278/la-falla-dei-robot-lavapavimenti-dji-romo-apre-un-serio-interrogativo-sulla-sicurezza-di-quello-che-abbiamo-in-casa</a>)</p><p></p><p><em>Quando un utente si autentica con le proprie credenziali riceve un token di accesso: questo token dovrebbe dare accesso esclusivamente ai dispositivi dell’utente ma qui entra in gioco il bug: il server MQTT di DJI </em><strong><em>verifica se l'utente è autenticato ma non verifica se l'utente sia autorizzato ad accedere ai dati richiesti.</em></strong></p><p><em>...</em></p><p><em>La parte più inquietante della scoperta riguarda proprio l'accesso alle funzionalità visive del robot: i moderni robot lavapavimenti come il DJI Romo <strong>montano telecamere per la navigazione e la sorveglianza domestica,</strong> e l’utente può impostare un PIN per proteggere l'accesso al feed video.</em></p><p><em>Il ricercatore ha scoperto che attraverso i topic MQTT poteva ad esempio richiedere il feed video in diretta e il sistema inviava lo stream video H.264 direttamente <strong>senza chiedere il PIN</strong>. Il PIN serve infatti solo nell'app ufficiale, ma se si salta l’applicazione e si guarda direttamente il flusso usando il protocollo MQTT non c’è alcun controllo. Ha anche capito che <strong>poteva ascoltare l'audio del microfono</strong>, visto che i robot montano microfoni per il controllo vocale e <strong><em>scaricare la mappa completa della casa.</em></strong></em></p><p><em>Tutto questo solo con un numero di serie, che si può anche indovinare partendo dal numero del proprio robot.</em></p><p><em>...</em></p><p></p><p>Comunque io non avevo intenzione di parlare di questo evento per il tema della sicurezza dati (che è comunque importante e trasversale a chiunque) quanto piuttosto sdoganare l'assunto DJI è una grande azienda = mi fido ciecamente perchè è una grande azienda riagganciandomi ai dubbi nati in merito alla garanzia di poter disporre dei ricambi nel tempo.</p><p>Come dimostra questo episodio, il fatto di essere una grande azienda è stato del tutto ininfluente se è comunque riuscita a mettere in commercio un prodotto con queste caratteristiche di sicurezza. Parliamo tra l'altro di un prodotto di fascia alta dove mi viene più difficile chiudere semplicemente un occhio con il classico motto veneto "<strong>Poco che te spendi, poco che te gha"</strong>.</p></blockquote><p></p>
[QUOTE="apollokid, post: 561035, member: 21461"] Corretto, non è sensibile ma personale stando al regolamento GDPR Con sensibile mi riferivo al fatto che per noi che siamo appassionati di biciclette è un dato molto da trattare con molta più delicatezza rispetto ad altri dati personali come il paese di nascita o un indirizzo email per il motivo che avevo citato. Ci sarà un motivo credo se le applicazioni che registrano le proprie uscite dispongono di funzionalità per nascondere l'inizio e fine attività. E già qui per dire anche Strava si era scottata con il problema delle Heatmap, ma se posso permettermi, il problema evidenziato dal ricercatore sul robot aspirapolvere della DJI va ben al di là delle classiche vulnerabilità che per essere sfruttate richiedono chissà quali competenze informatiche. Riporto un estratto dell'artiticolo che avevo postato (e che ricito nuovamente visto che non è stato spostato nel nuovo topic [URL]https://www.dday.it/redazione/56278/la-falla-dei-robot-lavapavimenti-dji-romo-apre-un-serio-interrogativo-sulla-sicurezza-di-quello-che-abbiamo-in-casa[/URL]) [I]Quando un utente si autentica con le proprie credenziali riceve un token di accesso: questo token dovrebbe dare accesso esclusivamente ai dispositivi dell’utente ma qui entra in gioco il bug: il server MQTT di DJI [/I][B][I]verifica se l'utente è autenticato ma non verifica se l'utente sia autorizzato ad accedere ai dati richiesti.[/I][/B] [I]... La parte più inquietante della scoperta riguarda proprio l'accesso alle funzionalità visive del robot: i moderni robot lavapavimenti come il DJI Romo [B]montano telecamere per la navigazione e la sorveglianza domestica,[/B] e l’utente può impostare un PIN per proteggere l'accesso al feed video. Il ricercatore ha scoperto che attraverso i topic MQTT poteva ad esempio richiedere il feed video in diretta e il sistema inviava lo stream video H.264 direttamente [B]senza chiedere il PIN[/B]. Il PIN serve infatti solo nell'app ufficiale, ma se si salta l’applicazione e si guarda direttamente il flusso usando il protocollo MQTT non c’è alcun controllo. Ha anche capito che [B]poteva ascoltare l'audio del microfono[/B], visto che i robot montano microfoni per il controllo vocale e [B][I]scaricare la mappa completa della casa.[/I][/B] Tutto questo solo con un numero di serie, che si può anche indovinare partendo dal numero del proprio robot. ...[/I] Comunque io non avevo intenzione di parlare di questo evento per il tema della sicurezza dati (che è comunque importante e trasversale a chiunque) quanto piuttosto sdoganare l'assunto DJI è una grande azienda = mi fido ciecamente perchè è una grande azienda riagganciandomi ai dubbi nati in merito alla garanzia di poter disporre dei ricambi nel tempo. Come dimostra questo episodio, il fatto di essere una grande azienda è stato del tutto ininfluente se è comunque riuscita a mettere in commercio un prodotto con queste caratteristiche di sicurezza. Parliamo tra l'altro di un prodotto di fascia alta dove mi viene più difficile chiudere semplicemente un occhio con il classico motto veneto "[B]Poco che te spendi, poco che te gha"[/B]. [/QUOTE]
Riporta Citazioni...
Verifica Anti SPAM
Invia risposta
Forum
Tecnica
Software ed elettronica
Sicurezza dati (estratto da Sistema Avinox M1 - thread ufficiale)
Alto
Basso