加拿大调查发现，送修电脑或手机，维修人员有不小几率会窥探用户的隐私数据

加拿大圭尔夫大学的计算机科学家发现，电子维修服务缺乏有效的隐私协议，技术人员经常窥探客户的隐私数据。

在他们的论文《No Privacy in the Electronics Repair Industry》里，圭尔夫大学的研究员 Jason Ceci、Jonah Stegman 和 Hassan Khan 记录了他们对电子产品维修店的隐私政策和实际做法的调查结果。

实地调查对象包括北美 18 家维修服务提供商，其中包括 3 家国家服务提供商、3 家地区服务提供商和 5 家本地服务提供商，以及两家国家智能手机维修服务提供商和5家设备制造商。

这些公司——由于加拿大大学的道德审查要求而未具名——被询问以确定他们是否有隐私政策，以及他们如何处理客户数据。

然后，维修人员被要求为装有Microsoft Windows 10的华硕UX330U笔记本电脑更换电池——该修复不需要登录凭据或操作系统访问权限。然而，除了一家公司之外，所有公司都要求提供登录凭据。

“没有一家服务提供商发布任何通知，向客户告知隐私政策。同样，在托付设备之前，没有研究人员被告知隐私政策、他们作为客户的权利或如何保护他们的数据。”

只有三个国家和三个地区服务提供商提供了要签署的条款和文件。更糟糕的是，合同不承担任何数据丢失的责任。

在评估了维修店的隐私政策后，研究人员测试了技术人员的实际做法：交给他们安装了带有虚拟数据的笔记本电脑，可以记录维修人员的实际操作。

结果并不令人鼓舞：16名技术人员中有6人窥探了客户的数据，并且在16项测试中的两项里，将客户数据复制到了外部设备上。在这6名窥探者中，1名技术人员还用了一种防止留下证据的做法；同时还有3人采取隐瞒手段——设备日志显示违规技术人员试图通过删除“快速访问”或“最近”中的项目来隐藏他们的访问记录。

安全研究员兼论文的合著者 Jason Ceci 告诉 The Register，他们发现的侵权行为主要是窥探客户的照片。

“他们中的一些人会浏览某人的网页浏览历史。”Ceci说。

该研究的其他部分涉及在线调查和对消费者的采访。数据表明，用户出于隐私顾虑，大约三分之一的损坏设备没有得到修复。

Ceci 和他的合著者认为，迫切需要评估维修行业的隐私政策和做法，该行业每年制造190亿美元的收入。他们引用了有关过去侵犯隐私的报道——比如Best Buy的 Geek Squad 技术人员充当 FBI 的线人，以及苹果和 Geek Squad 技术人员被指控窃取客户设备上的裸照。

Ceci 表示，监管机构应该关注维修行业，并考虑明确设备维修的隐私规则。他指出三星最近推出的“修复模式”——一种在维修期间保护设备上数据的方法——可以供其它企业参考。

https://www.theregister.com/2022/11/15/repair_technicians_data/

Recommend