Программист Роберт Хитон опубликовал в своём блоге пост, в котором утверждает, что HP может отсылать напечатанную принтерами компании информацию на собственные серверы.
Как рассказал Хитон, он устанавливал принтер родственникам по их просьбе. Последний шаг установки потребовал загрузки приложения на телефон или компьютер. Хитон рассказывает, что в процессе исследования приложения он обнаружил блок под названием «Уведомление о сборе данных».
Ознакомившись с информацией, Хитон нашёл следующее. По его словам, HP собирает данные об использовании продукта:
- количество напечатанных страниц,
- режим печати,
- марка чернил,
- тип файла для печати,
- приложение, используемое для печати,
- размер файла,
- время печати,
- использование и состояние других расходных материалов для принтера.
«Мы не сканируем и не собираем содержимое каких-либо файлов или информации, которая может отображаться приложением», — утверждают в HP.
Кроме того, HP собирает данные устройства: информацию о компьютере, принтере или другом устройстве, например, данные об операционной системе, ПО, объеме памяти, регионе, языке, часовом поясе, номере модели, дате первого запуска, возрасте устройства, дате изготовления устройства, версии браузера, производителе устройства, порте подключения. Также компания выясняет статус гарантии на принтер и дополнительную техническую информацию.
Как пишет Хитон, «HP хочет использовать данные, которые они собирают, для самых разных целей, наиболее привлекательной из которых является показ рекламы».
«Может быть, если они увидят, что вы печатаете документы из Photoshop, они могут отправить вам спам для покупки фотобумаги. Кроме того, я не уверен в том, как данные печати пользователя связаны с остальной частью информации о его личности. Это может быть некоторая комбинация IP-адреса, MAC-адреса принтера и компьютера или адреса электронной почты. Я хотел использовать функцию, когда принтер сканирует документ и отправляет его мне по электронной почте, но затем я испугался, что HP украдет мой адрес электронной почты, свяжет его с данными печати и отправит эту информацию в интернет», — пишет Хитон.
«Где вред во всем этом? — задаётся вопросом исследователь. — Я думаю, это зависит от того, насколько вы заботитесь о своей конфиденциальности. Если уж на то пошло, я считаю, что более 99% людей, чей принтер отправляет свои данные в HP, не подозревают, что это происходит, и предпочли бы, чтобы этого не было».
Комментарии (30)
severgun
18.09.2019 16:20Ну алло. Это делают ВСЕ.
vedenin1980
18.09.2019 16:24Да, дело даже не в этом, а в том, что все исследование основано на «чувак прочитал лицензионное сообщение» и придумал теорию заговора «они собирают больше, чем говорят» без всяких проверок и исследований…
red_andr
18.09.2019 16:52+7Ну если он такой «программист», то мог бы и выяснить чего на самом деле софт от HP отправляет на сервера компании. Делается это таки довольно просто.
JerleShannara
18.09.2019 18:00Не всегда увы. Могут потребоваться очень серьёзные навыки отладки и реверса.
w0den
18.09.2019 18:59+3Любопытства ради, «программист» мог бы по крайне мере запустить Wireshark или Fiddler, и уже в зависимости от результатов подкрепить свои доводы.
Возможно, на самом деле всё намного хуже, но для меня выглядит странным, что «программисты» пишут такие статьи без каких-либо технических подробностей.JerleShannara
18.09.2019 20:38Ну а там SSL с проверкой сертификатов например.
red_andr
18.09.2019 22:50+2Или нет. Автор не удосужился провести элементарную проверку, хотя бы сам факт соединения с серверами HP. Прокси или снифферов сейчас куча, включая очень простые в установке и использовании. Скорее всего текст этот вставили по требованию юристов компании. А вот занимается ли реально она сбором какой то информации и какой именно, это осталось неизвестным.
0xd34df00d
19.09.2019 02:31Достаточно скоррелировать объем отправляемых данных с размером печатаемых документов.
Am0ralist
19.09.2019 09:25Ну чисто по объемам, которые можно наблюдать в очереди печати конкретного принтера — на принтер идёт не тот файл, что вы печатаете, а специальным образом обработанный. Из-за чего у нас, например, есть проблема с печатью PDF файлов, получаемых с одного прибора — постоянно бьются кодировки, т.е. раз распечаталось плохо, второй раз этот же документ — нормально. Это во-первых.
Во-вторых, это может быть завязано на тип приложения, посылающего на печать, ведь эти данные HP заявляет тоже, как собираемые.
Ну и в третьих, данные могут посылаться неравномерно и по желанию левой пятки генератора случайных чисел. Ну то есть по каким-нибудь маркерам в печатаемых данных. Что нибудь в духе «This application does not support printing of banknote images»
Mogwaika
19.09.2019 10:28Объём данных в среднем за год? Я бы сделал отправку в первый день нового года, когда появился интернет.
Надо дизассемблировать и смотреть…JerleShannara
19.09.2019 16:45Вооот, для нормального разбора надо провести реверс и изучить, а что оно собственно там вообще делает. А эта задача весьма нетривиальна.
w0den
20.09.2019 00:39Как можно рассуждать о таком, когда не были проведены даже самые простые действия чтобы выяснить это? Маловероятно, но быть может, данные загружаются по FTP от имени рута на сервере, где хранятся банковские данные всех клиентов HP. С другой стороны, скорее всего Вы правы, и всё защищено на высшем уровне. Однако, учитывая, что утечки информации происходят по самым банальным причинам, я не удивлюсь, если там ничего не шифруется и никакой реверс-инжиниринг не нужен. В любом случае, чтобы узнать ответ на этот вопрос, пытаться угадать — недостаточно.
barbos6
18.09.2019 21:22Злые вы.
А ведь где-то, прочитав эту заметку, от зависти к HP горько заплакал товарисчъ майор… :)
AntonSazonov
18.09.2019 22:50+1А чего тут вообще подозревать, если соглашение явно говорит о сборе данных!?
HardWrMan
19.09.2019 06:52А что если они хотят выводить рекламу на бумагу при печати?
Можно пофантазировать: ведь действительно, все пытаются сунуть рекламу везде, куда она суётся, даже вон, в консольку уже выводят, а тут бумага — просто так удалить уже не получится. Придётся взламывать принтер и устанавливать адблок прямо в него. :)
BalinTomsk
20.09.2019 16:01Если принтер с сетевой картой — там еще наружу торчит SMTP и NRS протоколы, которые выдают каждый чих принтера и всю статистику. Если только USB интерфейс, то все это идет через драйвер компьютера.
Я скажу вам больше — это делают 100% принтеров всех производителей. А есть такие принеры, что и анализом текстов и изображений занимаются — не пересылаете ли бы чего запрещенного в стране или компании. А сканеры уже давно портят изображения банкнот.
karl93rus
Великолепная аналитика… потрясающе, эксельсиор! Новости, которые мы заслужили!
Londoner
Я думаю, что это чтоб обезопаситься от юридических проблем.
pewpew
А вы точно читали заголовок?
vedenin1980
Да уж, очень странная новость.
Человек просто прочитал соглашения о сборе данных, допридумывал, что они еще могли бы собирать в нарушение этого соглашения, и… статья по информационной безопасности готова. Без доказательств, без каких-либо проверок, просто «ну вот если они бы собирали ваши ип адреса, они бы могли слать вам рекламу»… Блин, я такие статьи по каждой крупной компании и каждому ПО могу пачками выпускать.
Sabubu
Нет, все правильно. Если производитель пишет "мы можем собирать ваши файлы, но это просто формальность, не бойтесь, мы почти никогда не будет так делать" — это надо понимать как "мы будем читать ваши файлы", так как "почти никогда" не имеет какого-то строгого определения.
Соответственно если производитель пишет, что он может собирать X, Y и Z — он их будет собирать сполна. Зачем бы иначе он включал X, Y и Z в соглашение?
vedenin1980
Так там написано X и Y (обезличенная анонимная статистика), а иследователь додумал Z (ип адреса, куки, emai'ы), чего не было в соглашении…
baragol
А вам не кажется, что есть разница между тем, как мы [более или менее сознательно] отдаем данные на сервера онлайновых сервисов, которыми пользуемся, и тем, когда Вася в 23:45 распечатывает 200-страничный док «Дневник 1997–1998»? Он как-то вообще не ожидает, что какие бы то ни было данные о его взаимоотношениях с принтером куда-либо отправляются.
Т.е. это в 2019 году с технической и даже этической точки зрения понятно. Но неожиданно же!
vedenin1980
Судя по описанию оригинала, соглашение о том куда и что отправляет показывается при установке и Вася сам ставит галочку «да, отправлять анонимную статистику на сервера HP»
baragol
Ну давайте честно: все ли и всегда ли читают соглашения? Чаще всего, мне кажется, просто жмут ОК и все.
vedenin1980
Ну и кто им злобный буратино? Если таким же макаром финансовые документы подписывать то можно на изрядные деньги попасть. Это отмазка примерно как «я подписал договор на кредит не читая у какой-то левой финансовой конторы, а потом неожидано обнаружил, что взял кредит с 300% годовых».
Ладно в том соглашении речь, как я понимаю, идет о анонимной обезличенной статистике, а мог ведь и подписать, что все содержимое его файлов отправляется на левый сервер. При том что в самом соглашении речь идет о отправке анонимной статистики.
P.S. Только я все равно не понимаю, что этот исследователь такого там наисследовал, если с статье только цитирование лицензионного соглашения? Ну давайте я на хабр по каждому соглашению, которое найду в ПО, буду заливать типо аналитическую статью по информационной безопасности.