Умная камера для унитаза Kohler и спор вокруг шифрования
Компания Kohler, производитель товаров для дома, в начале года представила умную камеру Dekoda. Устройство крепится к ободку унитаза, делает снимки содержимого чаши и анализирует их, чтобы выдавать рекомендации по состоянию кишечника и пищеварения.
Понимая, что подобный гаджет неминуемо вызовет вопросы о конфиденциальности, Kohler на своем сайте указала, что сенсоры Dekoda направлены исключительно внутрь унитаза. Там же компания заявила, что все данные защищены при помощи «сквозного шифрования» (end-to-end encryption).
Однако использование термина «end-to-end encryption» оказалось некорректным. На это обратил внимание исследователь безопасности Саймон Фондри-Тейтлер (Simon Fondrie-Teitler) в своем блоге, опубликованном во вторник.
Что на самом деле шифрует Kohler
Если обратиться к политике конфиденциальности Kohler, становится ясно, что под «сквозным шифрованием» компания подразумевает шифрование данных при передаче по интернету, то есть TLS — тот же механизм, который используется на HTTPS-сайтах.
Терминология здесь критична. Корректное использование понятий особенно важно, когда речь идет о персональных данных. Настоящее сквозное шифрование, как его реализуют мессенджеры iMessage, Signal или WhatsApp, означает, что данные шифруются на устройстве отправителя и могут быть расшифрованы только на устройстве получателя. В такой модели даже сервис-провайдер не имеет доступа к содержимому.
Когда же термин end-to-end encryption используют для описания обычного TLS-шифрования при передаче данных, это вводит пользователей в заблуждение. Люди, увидев знакомое выражение, могут решить, что Kohler технически не способна увидеть снимки, которые делает камера, хотя на самом деле это не так.
Позиция Kohler: шифрование на устройствах и серверах
Представитель Kohler не ответил на вопросы профильного издания, однако «контакт по вопросам конфиденциальности» компании в переписке с Фондри-Тейтлером дал больше деталей о том, как обрабатываются данные.
По словам этого представителя, пользовательские данные «зашифрованы в состоянии покоя, когда они хранятся на мобильном телефоне пользователя, на самом насадке для унитаза и в наших системах». То есть Kohler заявляет о шифровании как на стороне клиента, так и на своих серверах.
Также компания пояснила, что «данные в процессе передачи тоже зашифрованы сквозным образом, когда они перемещаются между устройствами пользователя и нашими системами, где они расшифровываются и обрабатываются для предоставления нашего сервиса».
Формулировка показывает, что под «end-to-end» Kohler фактически имеет в виду защищенный канал между клиентским устройством и серверами, но в конечной точке, на инфраструктуре Kohler, информация расшифровывается. Это принципиально отличается от классического E2E-подхода, при котором сервис-провайдер не обладает ключами для дешифрования содержимого.
Могут ли данные с умного унитаза попасть в обучение ИИ
Фондри-Тейтлер также указал, что раз Kohler может получать доступ к пользовательским данным на своих серверах, теоретически у компании есть возможность использовать сделанные камерой фотографии для обучения моделей искусственного интеллекта.
В переписке с исследователем представитель Kohler ответил, что «алгоритмы компании обучаются только на деперсонифицированных данных». Это означает, что, по заверениям Kohler, перед использованием в обучении из данных удаляются идентификаторы, позволяющие напрямую связать запись с конкретным пользователем.
При этом факт доступа компании к расшифрованным данным на сервере остается ключевым: это не соответствует широко принятому пониманию сквозного шифрования, при котором содержимое доступно только конечным пользователям.
Цена Dekoda и модель подписки
Kohler продает Dekoda по цене 599 долларов. Помимо покупки самого устройства, предусмотрена обязательная платная подписка — минимум 6,99 доллара в месяц.
Почему точная формулировка про шифрование важна
История с Dekoda показывает, как маркетинговое использование терминов безопасности может расходиться с реальной архитектурой защиты данных. Устройства, которые собирают крайне чувствительную информацию о здоровье и образе жизни, как никогда зависят от доверия пользователей.
Когда производитель заявляет о «сквозном шифровании», а на практике реализует лишь стандартную защиту при передаче и хранении данных с расшифровкой на стороне сервера, пользователи могут переоценивать уровень приватности. Особенно это заметно на фоне сервисов, где настоящее end-to-end шифрование уже стало стандартом и давно ассоциируется с тем, что провайдер не может прочитать данные.
В случае устройств наподобие Dekoda вопрос формулировок перестает быть чисто теоретическим: от того, как именно защищены снимки и результаты анализа, напрямую зависит, насколько безопасно людям передавать подобной системе информацию о своем здоровье.