Программист Роберт Хитон опубликовал в своём блоге пост, в котором утверждает, что HP может отсылать напечатанную принтерами компании информацию на собственные серверы.

Как рассказал Хитон, он устанавливал принтер родственникам по их просьбе. Последний шаг установки потребовал загрузки приложения на телефон или компьютер. Хитон рассказывает, что в процессе исследования приложения он обнаружил блок под названием «Уведомление о сборе данных».

Ознакомившись с информацией, Хитон нашёл следующее. По его словам, HP собирает данные об использовании продукта:

  • количество напечатанных страниц,
  • режим печати,
  • марка чернил,
  • тип файла для печати,
  • приложение, используемое для печати,
  • размер файла,
  • время печати,
  • использование и состояние других расходных материалов для принтера.

«Мы не сканируем и не собираем содержимое каких-либо файлов или информации, которая может отображаться приложением», — утверждают в HP.

Кроме того, HP собирает данные устройства: информацию о компьютере, принтере или другом устройстве, например, данные об операционной системе, ПО, объеме памяти, регионе, языке, часовом поясе, номере модели, дате первого запуска, возрасте устройства, дате изготовления устройства, версии браузера, производителе устройства, порте подключения. Также компания выясняет статус гарантии на принтер и дополнительную техническую информацию.

Как пишет Хитон, «HP хочет использовать данные, которые они собирают, для самых разных целей, наиболее привлекательной из которых является показ рекламы».

«Может быть, если они увидят, что вы печатаете документы из Photoshop, они могут отправить вам спам для покупки фотобумаги. Кроме того, я не уверен в том, как данные печати пользователя связаны с остальной частью информации о его личности. Это может быть некоторая комбинация IP-адреса, MAC-адреса принтера и компьютера или адреса электронной почты. Я хотел использовать функцию, когда принтер сканирует документ и отправляет его мне по электронной почте, но затем я испугался, что HP украдет мой адрес электронной почты, свяжет его с данными печати и отправит эту информацию в интернет», — пишет Хитон.

«Где вред во всем этом? — задаётся вопросом исследователь. — Я думаю, это зависит от того, насколько вы заботитесь о своей конфиденциальности. Если уж на то пошло, я считаю, что более 99% людей, чей принтер отправляет свои данные в HP, не подозревают, что это происходит, и предпочли бы, чтобы этого не было».

Комментарии (30)


  1. karl93rus
    18.09.2019 15:27
    +7

    <...> что HP может отсылать напечатанную принтерами компании информацию на собственные серверы.
    Может быть, если они увидят, что вы печатаете документы из Photoshop <...>
    Кроме того, я не уверен в том, как данные печати пользователя связаны <...>
    Это может быть некоторая комбинация IP-адреса <...>
    <...> но затем я испугался, что HP украдет мой адрес электронной почты <...>
    Я думаю, это зависит от того, насколько вы заботитесь <...>
    <...> я считаю, что более 99% людей, чей принтер <...>


    Великолепная аналитика… потрясающе, эксельсиор! Новости, которые мы заслужили!


    1. Londoner
      18.09.2019 16:07

      Я думаю, что это чтоб обезопаситься от юридических проблем.


    1. pewpew
      18.09.2019 16:14
      +1

      А вы точно читали заголовок?


      1. vedenin1980
        18.09.2019 16:18

        Да уж, очень странная новость.

        Человек просто прочитал соглашения о сборе данных, допридумывал, что они еще могли бы собирать в нарушение этого соглашения, и… статья по информационной безопасности готова. Без доказательств, без каких-либо проверок, просто «ну вот если они бы собирали ваши ип адреса, они бы могли слать вам рекламу»… Блин, я такие статьи по каждой крупной компании и каждому ПО могу пачками выпускать.


        1. Sabubu
          18.09.2019 17:33

          Нет, все правильно. Если производитель пишет "мы можем собирать ваши файлы, но это просто формальность, не бойтесь, мы почти никогда не будет так делать" — это надо понимать как "мы будем читать ваши файлы", так как "почти никогда" не имеет какого-то строгого определения.


          Соответственно если производитель пишет, что он может собирать X, Y и Z — он их будет собирать сполна. Зачем бы иначе он включал X, Y и Z в соглашение?


          1. vedenin1980
            18.09.2019 18:14

            пишет, что он может собирать X, Y и Z — он их будет собирать сполна. Зачем бы иначе он включал X, Y и Z в соглашение

            Так там написано X и Y (обезличенная анонимная статистика), а иследователь додумал Z (ип адреса, куки, emai'ы), чего не было в соглашении…


    1. baragol
      18.09.2019 17:48

      А вам не кажется, что есть разница между тем, как мы [более или менее сознательно] отдаем данные на сервера онлайновых сервисов, которыми пользуемся, и тем, когда Вася в 23:45 распечатывает 200-страничный док «Дневник 1997–1998»? Он как-то вообще не ожидает, что какие бы то ни было данные о его взаимоотношениях с принтером куда-либо отправляются.

      Т.е. это в 2019 году с технической и даже этической точки зрения понятно. Но неожиданно же!


      1. vedenin1980
        18.09.2019 18:10

        Он как-то вообще не ожидает, что какие бы то ни было данные о его взаимоотношениях с принтером куда-либо отправляются

        Судя по описанию оригинала, соглашение о том куда и что отправляет показывается при установке и Вася сам ставит галочку «да, отправлять анонимную статистику на сервера HP»


        1. baragol
          19.09.2019 15:36

          Ну давайте честно: все ли и всегда ли читают соглашения? Чаще всего, мне кажется, просто жмут ОК и все.


          1. vedenin1980
            19.09.2019 15:49

            Ну и кто им злобный буратино? Если таким же макаром финансовые документы подписывать то можно на изрядные деньги попасть. Это отмазка примерно как «я подписал договор на кредит не читая у какой-то левой финансовой конторы, а потом неожидано обнаружил, что взял кредит с 300% годовых».

            Ладно в том соглашении речь, как я понимаю, идет о анонимной обезличенной статистике, а мог ведь и подписать, что все содержимое его файлов отправляется на левый сервер. При том что в самом соглашении речь идет о отправке анонимной статистики.

            P.S. Только я все равно не понимаю, что этот исследователь такого там наисследовал, если с статье только цитирование лицензионного соглашения? Ну давайте я на хабр по каждому соглашению, которое найду в ПО, буду заливать типо аналитическую статью по информационной безопасности.


  1. severgun
    18.09.2019 16:20

    Ну алло. Это делают ВСЕ.


    1. vedenin1980
      18.09.2019 16:24

      Да, дело даже не в этом, а в том, что все исследование основано на «чувак прочитал лицензионное сообщение» и придумал теорию заговора «они собирают больше, чем говорят» без всяких проверок и исследований…


  1. red_andr
    18.09.2019 16:52
    +7

    Ну если он такой «программист», то мог бы и выяснить чего на самом деле софт от HP отправляет на сервера компании. Делается это таки довольно просто.


    1. Mogwaika
      18.09.2019 17:42

      Точно ли просто?


    1. JerleShannara
      18.09.2019 18:00

      Не всегда увы. Могут потребоваться очень серьёзные навыки отладки и реверса.


      1. w0den
        18.09.2019 18:59
        +3

        Любопытства ради, «программист» мог бы по крайне мере запустить Wireshark или Fiddler, и уже в зависимости от результатов подкрепить свои доводы.

        Возможно, на самом деле всё намного хуже, но для меня выглядит странным, что «программисты» пишут такие статьи без каких-либо технических подробностей.


        1. JerleShannara
          18.09.2019 20:38

          Ну а там SSL с проверкой сертификатов например.


          1. red_andr
            18.09.2019 22:50
            +2

            Или нет. Автор не удосужился провести элементарную проверку, хотя бы сам факт соединения с серверами HP. Прокси или снифферов сейчас куча, включая очень простые в установке и использовании. Скорее всего текст этот вставили по требованию юристов компании. А вот занимается ли реально она сбором какой то информации и какой именно, это осталось неизвестным.


          1. 0xd34df00d
            19.09.2019 02:31

            Достаточно скоррелировать объем отправляемых данных с размером печатаемых документов.


            1. Am0ralist
              19.09.2019 09:25

              Ну чисто по объемам, которые можно наблюдать в очереди печати конкретного принтера — на принтер идёт не тот файл, что вы печатаете, а специальным образом обработанный. Из-за чего у нас, например, есть проблема с печатью PDF файлов, получаемых с одного прибора — постоянно бьются кодировки, т.е. раз распечаталось плохо, второй раз этот же документ — нормально. Это во-первых.
              Во-вторых, это может быть завязано на тип приложения, посылающего на печать, ведь эти данные HP заявляет тоже, как собираемые.
              Ну и в третьих, данные могут посылаться неравномерно и по желанию левой пятки генератора случайных чисел. Ну то есть по каким-нибудь маркерам в печатаемых данных. Что нибудь в духе «This application does not support printing of banknote images»


            1. Mogwaika
              19.09.2019 10:28

              Объём данных в среднем за год? Я бы сделал отправку в первый день нового года, когда появился интернет.
              Надо дизассемблировать и смотреть…


              1. JerleShannara
                19.09.2019 16:45

                Вооот, для нормального разбора надо провести реверс и изучить, а что оно собственно там вообще делает. А эта задача весьма нетривиальна.


                1. w0den
                  20.09.2019 00:39

                  Как можно рассуждать о таком, когда не были проведены даже самые простые действия чтобы выяснить это? Маловероятно, но быть может, данные загружаются по FTP от имени рута на сервере, где хранятся банковские данные всех клиентов HP. С другой стороны, скорее всего Вы правы, и всё защищено на высшем уровне. Однако, учитывая, что утечки информации происходят по самым банальным причинам, я не удивлюсь, если там ничего не шифруется и никакой реверс-инжиниринг не нужен. В любом случае, чтобы узнать ответ на этот вопрос, пытаться угадать — недостаточно.


  1. corvair
    18.09.2019 18:41
    +1

    Когда-то Lexmark попалась на шпионаже за пользователями.


    1. Radiohead72
      18.09.2019 23:16
      +2

      Так они вроде как все замешаны)
      www.bbc.com/russian/vert-fut-40191780
      image


  1. barbos6
    18.09.2019 21:22

    Злые вы.
    А ведь где-то, прочитав эту заметку, от зависти к HP горько заплакал товарисчъ майор… :)


  1. AntonSazonov
    18.09.2019 22:50
    +1

    А чего тут вообще подозревать, если соглашение явно говорит о сборе данных!?


  1. HardWrMan
    19.09.2019 06:52

    А что если они хотят выводить рекламу на бумагу при печати?
    image
    Можно пофантазировать: ведь действительно, все пытаются сунуть рекламу везде, куда она суётся, даже вон, в консольку уже выводят, а тут бумага — просто так удалить уже не получится. Придётся взламывать принтер и устанавливать адблок прямо в него. :)


  1. NeiroNx
    19.09.2019 08:45

    Если у вас нет паранойи — это не значит, что за вами не следят.


  1. BalinTomsk
    20.09.2019 16:01

    Если принтер с сетевой картой — там еще наружу торчит SMTP и NRS протоколы, которые выдают каждый чих принтера и всю статистику. Если только USB интерфейс, то все это идет через драйвер компьютера.

    Я скажу вам больше — это делают 100% принтеров всех производителей. А есть такие принеры, что и анализом текстов и изображений занимаются — не пересылаете ли бы чего запрещенного в стране или компании. А сканеры уже давно портят изображения банкнот.