Mae fy mwgwd cwsg smart yn darlledu tonnau ymennydd defnyddwyr i frocer MQTT agored
Mae fy mwgwd cwsg smart yn darlledu tonnau ymennydd defnyddwyr i frocer MQTT agored Mae'r dadansoddiad cynhwysfawr hwn o smart yn cynnig archwiliad manwl o'i gydrannau craidd a goblygiadau ehangach. Meysydd Ffocws Allweddol Mae’r drafodaeth yn canolbwyntio ar: C...
Mewayz Team
Editorial Team
Mae masgiau cwsg smart sy'n monitro gweithgaredd tonnau ymennydd yn datgelu data niwrolegol sensitif i unrhyw un ar y rhyngrwyd trwy drosglwyddo signalau EEG i froceriaid MQTT heb eu dilysu, sy'n hygyrch i'r cyhoedd. Nid yw hon yn risg ddamcaniaethol - mae'n batrwm wedi'i ddogfennu ar draws dyfeisiau lles IoT defnyddwyr sy'n cynrychioli un o'r gollyngiadau data mwyaf agos atoch yn hanes technoleg gwisgadwy.
Beth Yn union Sy'n Digwydd Pan Mae Eich Mwgwd Cwsg yn Darlledu Tonnau Ymennydd?
Protocol negeseuon ysgafn yw MQTT (Neges Queuing Telemetry Transport) a gynlluniwyd ar gyfer amgylcheddau IoT lled band isel. Mae'n gweithredu ar fodel cyhoeddi/tanysgrifio: mae dyfais yn cyhoeddi data i "destun" ar frocer, a gall unrhyw danysgrifiwr ddarllen y pwnc hwnnw mewn amser real. Mae'r bensaernïaeth yn effeithlon ac yn gain - ond yn drychinebus o beryglus pan nad oes angen dilysu'r brocer.
Mae nifer o fasgiau cwsg clyfar gradd defnyddiwr, gan gynnwys dyfeisiau sy’n cael eu marchnata ar gyfer myfyrdod, breuddwydio eglur, ac optimeiddio cwsg, yn defnyddio synwyryddion EEG wedi’u mewnosod i ddal amlder tonnau ymennydd ar draws y bandiau delta, theta, alffa, beta a gama. Mae'r data hwn yn cael ei ffrydio'n barhaus i froceriaid cwmwl. Pan adewir y broceriaid hynny ar agor - dim enw defnyddiwr, dim cyfrinair, dim TLS - gall unrhyw un sy'n gwybod neu'n dyfalu cyfeiriad y brocer danysgrifio i'r pwnc a derbyn porthiant byw o gyflwr niwrolegol person arall. Mae offer fel Shodan a MQTT Explorer yn gwneud darganfod y broceriaid agored hyn yn ddibwys.
Nid yw'r data sy'n cael ei ddatgelu yn delemetreg haniaethol. Gall patrymau tonnau ymennydd ddatgelu anhwylderau cysgu, lefelau pryder, llwyth gwybyddol, ac mewn rhai cyd-destunau ymchwil, cyflyrau emosiynol. Mae ymhlith y data biometrig mwyaf personol y mae bod dynol yn ei gynhyrchu.
Pam Mae'r Bregusrwydd Hwn Mor Eang Mewn Dyfeisiau IoT Defnyddwyr?
Yr achos sylfaenol yw cyfuniad o linellau amser datblygu cywasgedig, cyfyngiadau cost, a diffyg pwysau rheoleiddiol ar weithgynhyrchwyr caledwedd lles defnyddwyr. Mae llawer o'r cwmnïau hyn yn blaenoriaethu datblygu nodweddion ac amser-i-farchnad dros bensaernïaeth diogelwch. Mae broceriaid MQTT yn rhad ac yn hawdd i'w deillio, ac mae galluogi mynediad agored yn ystod datblygiad yn llwybr byr cyffredin sy'n goroesi'n aml i adeiladu cynhyrchiant.
- Dim dilysu yn ddiofyn: Mae llawer o ffurfweddiadau broceriaid MQTT yn cael eu hanfon gyda mynediad dienw wedi'u galluogi, sy'n ei gwneud yn ofynnol i ddatblygwyr ei analluogi'n fwriadol - cam sy'n cael ei hepgor fel mater o drefn.
- Dim amgryptio trafnidiaeth: Mae data'n cael ei drosglwyddo'n aml dros borth 1883 (heb ei amgryptio) yn hytrach na phorth 8883 (TLS), sy'n golygu bod unrhyw arsylwr rhwydwaith yn darllen y llif data, nid dim ond tanysgrifwyr broceriaid.
- Hierarchaeth pynciau gwastad: Mae dyfeisiau'n aml yn cyhoeddi i strwythurau pwnc rhagweladwy, gan ei gwneud hi'n hawdd rhifo a thanysgrifio i ddata defnyddwyr lluosog ar yr un pryd.
- Dim dilysu dyfais: Heb TLS cilyddol neu hunaniaeth dyfais sy'n seiliedig ar docyn, gall dyfeisiau ffug chwistrellu data ffug i'r ffrwd neu ddynwared dyfeisiau cyfreithlon yn gyfan gwbl.
- Dim logio archwilio: Fel arfer nid oes gan froceriaid agored unrhyw fecanwaith i ganfod neu rybuddio am weithgarwch tanysgrifio anawdurdodedig, felly mae'r datguddiad yn anweledig i'r gwneuthurwr a'r defnyddiwr.
"Mae agosatrwydd y data yn gwneud y categori hwn o doriad yn unigryw o ddifrifol. Gellir newid data ariannol. Ni all data niwrolegol. Mae proffil tonnau ymennydd sy'n gollwng yn amlygiad parhaol, na ellir ei ddirymu o dirwedd wybyddol fewnol person."
Beth yw'r Goblygiadau Byd Go Iawn i Fusnesau a'u Gweithwyr?
Nid mater preifatrwydd defnyddwyr yn unig yw hwn. Mae gweithwyr yn defnyddio dyfeisiau lles yn gynyddol - gan gynnwys gwisgadwy optimeiddio cwsg - fel rhan o raglenni iechyd corfforaethol, ac mae rhai swyddogion gweithredol yn defnyddio offer ffocws sy'n seiliedig ar EEG yn ystod oriau gwaith. Os yw data tonnau ymennydd o'r dyfeisiau hyn ar gael ar froceriaid agored, mae'n creu amlygiad ar lefel menter.
Mae deallusrwydd cystadleuol sy'n deillio o ddata niwrolegol yn ddamcaniaethol heddiw ond nid yw'n annhebygol yfory wrth i offer dadansoddi aeddfedu. Yn fwy uniongyrchol, mae'r amlygiad atebolrwydd cyfreithiol yn sylweddol. O dan GDPR, CCPA, a deddfau data biometrig sy'n dod i'r amlwg mewn taleithiau fel Illinois a Texas, mae data niwrolegol yn gymwys fel gwybodaeth fiometrig sensitif. Gallai busnes sy'n argymell neu'n rhoi cymhorthdal i ddyfais gyda'r bregusrwydd hwn wynebu craffu rheoleiddiol os caiff data gweithwyr ei all-hidlo - hyd yn oed os nad oedd gan y busnes unrhyw gysylltiad uniongyrchol â chynllun y ddyfais.
Ar gyfer cwmnïau sy'n adeiladu rhaglenni llesiant, adnoddau dynol neu ymgysylltu â gweithwyr, mae deall osgo diogelwch data pob pwynt cyffwrdd technoleg bellach yn ofyniad sylfaenol, nid yn wahaniaethwr.
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →Sut Gall Sefydliadau Amddiffyn Eu Hunain rhag Risgiau Datguddio Data IoT?
Mae angen rheolaethau technegol a phrosesau sefydliadol i amddiffyn rhag y math hwn o fregusrwydd. Ar yr ochr dechnegol, dylid gwerthuso unrhyw ddyfais IoT sy'n trin data biometrig sensitif cyn mabwysiadu'r sefydliad: gwiriwch fod angen dilysu cysylltiadau brocer, cadarnhewch fod TLS wedi'i orfodi, a gwiriwch a yw'r gwerthwr yn cyhoeddi polisi datgelu diogelwch.
Ar ochr y broses, mae sefydliadau angen gwelededd canolog i'r offer a'r llwyfannau y mae gweithwyr yn eu defnyddio - yn enwedig y rhai sy'n cyffwrdd â data personol. Dyma lle mae cymhlethdod gweithredol rhedeg busnes modern yn gwaethygu'r risg. Heb system unedig i olrhain perthnasoedd gwerthwyr, cytundebau trin data, ac asesiadau diogelwch, mae datguddiad yn cronni'n dawel ar draws dwsinau o setiau offer sydd wedi'u datgysylltu.
Mae rheoli'r cymhlethdod hwn yn gofyn am lwyfan sy'n atgyfnerthu gwelededd gweithredol heb ychwanegu gorbenion gweinyddol - yr union broblem y mae systemau gweithredu busnes modern wedi'u cynllunio i'w datrys.
Beth ddylai Gweithgynhyrchwyr Dyfeisiau ei Wneud i Drwsio Gwendidau Broceriaid MQTT Agored?
Mae'r llwybr adfer yn cael ei ddeall yn dda, hyd yn oed os yw'r mabwysiadu'n araf. Dylai gweithgynhyrchwyr orfodi dilysiad ar bob cysylltiad brocer MQTT, gweithredu TLS ar bob sianel ddata, cylchdroi manylion dyfais-benodol yn rheolaidd, a darparu dogfennaeth glir, hygyrch i ddefnyddwyr ynghylch pa ddata a gesglir, ble mae'n mynd, a phwy all gael mynediad iddo. Dylai rhaglenni datgelu cyfrifol ac archwiliadau diogelwch trydydd parti fod yn arfer safonol ar gyfer unrhyw ddyfais sy'n trin data biometrig.
Mae fframweithiau rheoleiddio yn dechrau dal i fyny. Mae Deddf Cydnerthedd Seiber yr UE a rhaglen Marc Ymddiriedolaeth Seiber yr UD ar gyfer dyfeisiau IoT ill dau yn creu cymhellion strwythurol i weithgynhyrchwyr fynd i'r afael â'r gwendidau hyn yn union. Ond pwysau'r farchnad gan ddefnyddwyr a mentrau gwybodus yw'r lifer cyflymach.
Cwestiynau Cyffredin
A gaf i ddweud a yw fy mwgwd cwsg clyfar yn darlledu i frocer MQTT agored?
Gallwch ddefnyddio offer monitro rhwydwaith fel Wireshark i archwilio traffig o'ch dyfais ar eich rhwydwaith lleol. Chwiliwch am gysylltiadau â phorthladd 1883 (MQTT heb ei amgryptio) yn hytrach na 8883 (TLS MQTT). Os yw'ch dyfais yn cysylltu ag IP allanol ar borthladd 1883, mae'n debygol y bydd eich llif data heb ei amgryptio. Gallwch hefyd gysylltu â'r gwneuthurwr yn uniongyrchol a gofyn am eu ffurfweddiad brocer MQTT a dogfennaeth ddilysu - mae ansawdd eu hymateb yn addysgiadol ynddo'i hun.
A yw data tonnau ymennydd wedi'u diogelu'n gyfreithiol fel data biometrig?
Mewn nifer cynyddol o awdurdodaethau, ydy. Mae Deddf Preifatrwydd Gwybodaeth Fiometrig Illinois (BIPA), er enghraifft, yn cwmpasu data "niwral" yn benodol. Mae gan Texas a Washington statudau tebyg. Ar y lefel ffederal yn yr Unol Daleithiau, nid oes cyfraith preifatrwydd biometrig gynhwysfawr eto, ond mae'r FTC wedi cymryd camau gorfodi yn erbyn cwmnïau ar gyfer arferion data twyllodrus sy'n ymwneud â biometreg. Yn yr UE, mae data EEG yn cael ei ystyried yn ddata iechyd o dan GDPR ac yn ddarostyngedig i'w ofynion prosesu mwyaf cyfyngol.
Sut mae rhedeg busnes ar lwyfan unedig yn lleihau risg IoT a diogelwch data?
Mae offer busnes darniog yn creu llywodraethu data tameidiog. Pan fydd gweithrediadau, AD, rheoli gwerthwyr, a chyfathrebu yn rhedeg ar draws dwsinau o lwyfannau datgysylltu, mae asesiadau diogelwch yn anghyson ac mae bylchau atebolrwydd yn anochel. Mae system weithredu busnes gyfunol yn creu un arwyneb ar gyfer gorfodi polisi, gwerthuso gwerthwyr, a throsolwg gweithredol - gan leihau'r wyneb ymosod a gwneud cydymffurfiad yn amlwg yn haws i'w gynnal a'i archwilio.
Mae rhedeg gweithrediad busnes mwy darbodus, mwy diogel a mwy integredig yn dechrau gyda'r sylfaen gywir. Mae Mewayz — yr OS busnes 207-modiwl a ddefnyddir gan dros 138,000 o ddefnyddwyr — yn rhoi'r eglurder gweithredol i chi reoli pob dimensiwn o'ch busnes mewn un lle, o lifau gwaith tîm i berthnasoedd â gwerthwyr, gan ddechrau ar $19/mis. Rhoi'r gorau i osod cymhlethdod creu amlygiad. Dechreuwch eich man gwaith Mewayz heddiw.
We use cookies to improve your experience and analyze site traffic. Cookie Policy