ICD News #20

Spis treści

• Szpiegujące Smart TV, które robi tysiące zrzutów ekranów tego co wyświetlasz
• Użytkownik Midjourney domaga się, aby jego grafiki były chronione prawami autorskimi
• [USA] Kalifornia robi porządek ze zwodniczymi praktykami „sprzedaży dóbr cyfrowych”
• Valve współpracuje z zespołem Arch Linuxa
• Project Tor łączy się z linuksową dystrybucją Tails
• Mozilla finansuje alternatywę do Google Photos
• Atak man-in-the-middle umożliwiający hackowanie kartridży HP?
• HP wprowadza do swoich urządzeń AI
• NIST w końcu zaostrza wymagania haseł
• Wikipedia eksperymentuje z opartym o AI „Add-A-Fact”
• Szersze blokowanie domen we Włoszech
• Apple usuwa VPNy z rosyjskiego App Store
• Meta ukarana ogromną grzywną za przechowywanie haseł w postaci tekstowej

Szpiegujące Smart TV, które robi tysiące zrzutów ekranów tego co wyświetlasz

Smart TVs take snapshots of what you watch multiple times per second

Smart TVs from Samsung and LG monitor what you are watching even when you are using the screens to display a feed from a connected laptop or video game console

New Scientist#author.fullName}

Artykuł jest schowany za paywallem, ale pełną jego treść przeczytacie w tym komentarzu na Reddicie.

Smart TV są szpiegują bardziej niż kiedykolwiek. Oprócz wykorzystywania nagrań dźwiękowych, które mają służyć trenowaniu systemu rozpoznawania mowy, czy kierowaniu spersonalizowanych reklam na podstawie naszych zachowań, współczesne telewizory potrafią wykonywać zrzuty ekranu i to w momentach kiedy użytkownicy się tego nie spodziewają.

„Kiedy użytkownik podłącza swojego laptopa przez HDMI tylko po to, by przeglądać rzeczy na swoim laptopie na większym ekranie, używając telewizora jako głupiego wyświetlacza, nie podejrzewa, iż jego aktywność jest »screenshotowana«” - mówi Yash Vekaria z Uniwersytetu Kalifornijskiego w Davis. Firmy Samsung i LG nie odpowiedziały na prośbę o komentarz.

Wg autora artykułu popularne telewizory od Samsunga potrafią wykonywać zrzuty ekranu co 0,5 sekundy, a telewizory od LG co 10 milisekund! Ponadto zachowanie telewizorów różni się w zależności od geolokalizacji. Niestety wiele funkcji naruszających prywatność jest domyślnie włączona, a wyłączenie niektórych ustawień wymaga nie lada wysiłku.

Ze swojej strony możemy polecić odłączenie swojego smart telewizora (jeżeli takowy posiadacie) od dostępu do Internetu i podłączenie do niego mini komputera na którym można uruchomić np. oprogramowanie Kodi lub Android TV, nad którym będziecie mieli większą kontrolę. O Kodi wspominaliśmy np. przy okazji naszego zestawienia aplikacji z F-Droida:

F-droid: Aplikacje które robią jedną rzecz, za to dobrze. 40 naszych faworytów

Ekosystem aplikacji na Androida nie kończy się na Google Play Store. W tym odcinku omawiamy nasze ulubione aplikacje z alternatywnego, nastawionego na prywatność „sklepu” z aplikacjami, gdzie wszystkie aplikacje są darmowe i pozbawione reklam.

Fundacja Internet. Czas działać!Arkadiusz Wieczorek

Użytkownik Midjourney domaga się, aby jego grafiki były chronione prawami autorskimi

Famous AI Artist Says He’s Losing Millions of Dollars From People Stealing His Work

The guy who used Midjourney to create an award-winning piece of AI art demands copyright protections.

GizmodoLucas Ropek

Pewien użytkownik Midjourney, generatywnego modelu AI do tworzenia grafik, w 2022 roku wygrał konkurs graficzny dzięki obrazka wygenerowana przez AI. To było szczególnie kontrowersyjne, gdyż firmy stojące za AI są oskarżane o pobieranie dzieł do uczenia modelu bez wiedzy twórców i bez dzielenia się z nimi zyskami z tej działalności. Ten sam użytkownik teraz nie może chronić swoich „dzieł” prawami autorskimi i narzeka, iż ludzie kradną jego grafiki bez jego zgody i bez wynagrodzenia. Prawnik tego użytkownika twierdzi, iż wygenerowana praca jest rezultatem „obszernego dialogu” z modelem językowym, korekt w Photoshopie i wrzucenia pracy do jeszcze innego narzędzia opartego o AI — sugerując jakoby przez to nosiła znamiona dzieła, które można chronić prawem autorskim.

[USA] Kalifornia robi porządek ze zwodniczymi praktykami „sprzedaży dóbr cyfrowych”

Sony, Ubisoft scandals prompt Calif. ban on deceptive sales of digital goods

New California law reminds us we don’t own games and movies.

Ars TechnicaAshley Belanger

Kalifornia stała się niedawno pierwszym stanem, który wprowadził zakaz sprzedaży tak zwanych „znikających dóbr cyfrowych”. od dzisiaj giganci cyfrowi, np. wydawcy gier komputerowych nie będą mogli oferować kupna gier w postaci cyfrowej bez jasnego wskazania, iż udzielana jest czasowa licencja. W przeciwnym wypadku gra będzie musiała pozostać dostępna na zawsze, a taka sprzedaż nie będzie mogła się wiązać ze zdjęciem jej ze sklepu i/lub usunięciu dostępu do jej pobrania. Ponadto informacje o tym czy mamy do czynienia z licencją, czy faktycznym dostępem do dobra cyfrowego, powinny być wyodrębnione podczas transakcji i oddzielone od wszelkich warunków świadczenia usług, innymi słowy — zgoda nabywcy musi być jasno wyrażona. W ostatnim czasie jedną z głośniejszych w tej sprawie było usunięcie przez Ubisoft gry The Crew z biblioteki jej graczy:

Ubisoft is deleting The Crew from players’ libraries, reminding us we own nothing

Ubisoft is pulling licenses from people’s The Crew accounts, essentially taking away a game they paid real money to own. This happens after it stopped being ...

EngadgetLawrence Bonk

Valve współpracuje z zespołem Arch Linuxa

The Arch Linux team is now working directly with Valve — SteamOS and Arch should both benefit greatly

SteamOS is built on top of Arch, and Valve is now providing a build service infrastructure and secure signing enclave for Arch.

Tom's HardwareChristopher Harper

Na liście mailingowej Archa można przeczytać, iż Valve oficjalnie będzie wspierał zespół Archa poprzez udostępnienie infrastruktury do budowania pakietów oraz do bezpiecznego ich podpisywania. Stanowi to pozytywny przykład sytuacji, w której korporacja pomaga utrzymać otwarty projekt, na którym polega — Arch Linux jest systemem operacyjnym wybranym przez Valve na swoją konsolę Steam Deck.

O konsoli Steam Deck dyskutowaliśmy w jednym z wątków na naszym forum:

Steam Deck - konsola z Linuksem

Otwieram temat dedykowany dla Steam Decka. Urządzenie otworzyło rozdział budowania i sprzedawania konsol z Linuksem, dlatego mam wrażenie, iż pasuje do tego forum. Macie Steam Decka? A może korzystacie z czegoś podobnego? Jakie macie wrażenia?

Forum Internet. Czas działać!cichy1173

Project Tor łączy się z linuksową dystrybucją Tails

The Tor Project merges with Tails, a Linux-based portable OS focused on privacy | TechCrunch

The Tor Project is merging operations with Tails, a portable Linux-based operating system focused on preserving user privacy and anonymity.

TechCrunchPaul Sawers

Tor Project i Tails łączą siły! Tor Project to organizacja non-profit, która najbardziej jest znana sieci Tor, która anonimizuje ruch internetowy, kierując go przez różne serwery i szyfrując dane. Tails zaś to tworzona od 2009 roku dystrybucja Linuksa oparta o Debiana, która domyślnie łączy się z Internetem przez Tor i może być uruchamiana z przenośnych nośników. Jak podają autorzy Tailsa, jest to dystrybucja kierowana np. do aktywistów czy dziennikarzy.

Mozilla finansuje alternatywę do Google Photos

Mozilla grants Ente $100k

Ente has received a non-dilutive grant of $100,000 from Mozilla

ente

Mozilla obdarzyła organizację Ente grantem w wysokości 100 tys. dolarów w celu rozwoju produktu, który jest nastawioną na prywatność, lokalne przetwarzanie i szyfrowane end-to-end alternatywą do Google Photos.

Atak man-in-the-middle umożliwiający hackowanie kartridży HP?

Man-in-the-Middle PCB Unlocks HP Ink Cartridges

It’s a well-known secret that inkjet ink is being kept at artificially high prices, which is why many opt to forego ‘genuine’ manufacturer cartridges and get third-party ones inst…

HackadayMaya Posch

Użytkownik Jay Summet na swoim kanale YouTube zaprezentował manualnie napełniony kartridż z doklejonym chipem na elastycznym układzie scalonym, który najwyraźniej realizuje fizyczny atak man-in-the-middle, mówiąc drukarce, iż wszystko jest w porządku i obchodzi zabezpieczenia DRM. Więcej o tym, czym jest DRM, możecie dowiedzieć się z naszego materiału:

DRM - o cyfrowych narzędziach do ograniczania praw i swobód użytkowników

Trudno o coś, co bardziej ujawnia dwulicowość korporacji technologicznych, niż DRM. W przekazach marketingowych wielu firm technologicznych możemy nasłuchać się pięknie brzmiących bzdur, jakoby odpowiadanie na potrzeby ich użytkowników było ich najwyższym celem.

Fundacja Internet. Czas działać!Kuba Orlik

Naszym zdaniem HP jest mistrzem byciu antykonsumencką korporacją, próbując wycisnąć z użytkowników ostatni grosz. W ICD Weekend wspominaliśmy o subskrypcji nie tylko na tusze, ale także na drukarki i papier... oraz o konieczności stałego połączenia drukarki do Internetu, z czego HP się wycofało. Sądzimy jednak, iż HP dzięki takim obejściom jak zaprezentowane powyżej, będzie kuszone, by przywrócić wymagany stały dostęp do Internetu dla drukarek. Co więcej, jak przystało na każdą „renomowaną” korporację, HP również wprowadziło rozwiązania oparte o sztuczną inteligencję, co jest tematem naszego kolejnego newsa.

HP wprowadza do swoich urządzeń AI

Introducing HP Print AI, Industry’s First Intelligent Print Experiences for Home, Office, and Large Format Printing

Today at HP Imagine, HP Inc. (NYSE: HPQ) unveiled HP Print AI, the industry’s first intelligent print experiences1 designed to change how the world prints. HP Print AI’s features make printing frictionless by eliminating common challenges from printer setup to support. The first feature – Perfect Ou…

HP Logo - Homepage

Niedawno HP zaprezentowało HP Print AI polegające na podłączeniu sztucznej inteligencji do swoich drukarek i skanerów. Można już testować wersję beta, która według zapewnień HP ma gwarantować ładniejszy wydruk ze stron WWW i arkuszy kalkulacyjnych, lepszą analizę dokumentów przy skanowaniu i łatwiejszą współpracę w grupach roboczych. Cena nie pozostało znana i wszystko wymaga „chmury”… prawdopodobnie jest to więc kolejna próba wymuszenia stałego połączenia z Internetem, po wcześniejszym (jak już wspomnieliśmy) wycofaniu się z tego pomysłu, a także wymuszenie płacenia za subskrypcję, biorąc pod uwagę nieokiełznany entuzjazm HP do tego modelu biznesowego, o czym nie raz mówiliśmy na ramach naszego podcastu ICD Weekend:

Technologiczny postęp: ekrany w lodówkach sklepowych, blue screeny w samochodach - ICD Weekend #8

Michał i Arek poruszają nowinki ze świata technologii, prywatności i bezpieczeństwa. W tym odcinku m.in.: aktualizacje psujące pojazdy i urządzenia, cyfrowy skimming kart płatniczych oraz ataki dzięki protokołu RDP.

Fundacja Internet. Czas działać!Michał Ren

HP kontra klienci, początek końca cookiesów 3rd party – ICD Weekend #10

Kuba i Michał omawiają wieści ze świata prywatności, bezpieczeństwa i praw użytkowników technologii. W tym odcinku między innymi: antykonsumencka postawa HP, hackowalne drukarki, początek końca cookies 3rd party - i wiele, wiele więcej!

Fundacja Internet. Czas działać!Kuba Orlik

NIST w końcu zaostrza wymagania haseł

NIST Special Publication 800-63B

NIST Special Publication 800-63B

Amerykański Narodowy Instytut Norm i Technologii zajmuje się m.in. tworzeniem standardów przetwarzania danych. Często cytowaną normą jest NIST Special Publication 800-63 Digital Identity Guidelines, zawierająca rady dotyczące zarządzania cyfrową tożsamością. Ich stosowanie często jest wręcz wymagane w kontraktach, za które płaci rząd USA. Niedawno pojawiła się propozycja nowej wersji, w której szczególnie interesujące zmiany nastąpiły w sekcji SP 800-63B, dotyczącej m.in. haseł. Jak wiemy, niektóre złe praktyki dotyczące haseł jak np. wymuszanie stosowania symboli z wielu grup („hasło musi zawierać wielkie i małe litery, cyfry, znaki interpunkcyjne i co najmniej jedną emotikonkę”…), ograniczanie długości hasła, umożliwianie przypomnienia hasła przez pytania o imiona ulubionych zwierzątek itd. ciągle są stosowane w systemach informatycznych, jednak do tej pory, NIST jedynie zalecał, żeby tego nie robić, więc technicznie były zgodne z SP 800-63. Teraz ma się to zmienić — NIST chce jednoznacznie ich zakazać. Na razie dokument jest dopiero w trakcie tworzenia, ale dobrze, żeby każdy wszyscy autorzy systemów używających haseł zapoznali się ze wskazówkami ich dotyczącymi.

Wikipedia eksperymentuje z opartym o AI „Add-A-Fact”

User:DErenrich-WMF/Add A Fact Experiment - Wikipedia

Wikipedia

Wtyczka jest tymczasowym eksperymentem. Pozwala zaznaczyć tekst na dowolnej stronie spoza Wikipedii i sprawdzić, czy wiedza zawarta w tym tekście pasuje do istniejącego artykułu i czy już się w nim znajduje. AI nie jest w ramach tej wtyczki wykorzystywane do generowania treści na Wikipedii.

Szersze blokowanie domen we Włoszech

Italy Approves Piracy Shield VPN/DNS Proposal, Risk of Prison For ISPs Intact [Updated] * TorrentFreak

Senate committees in Italy have approved amendments requiring VPN & DNS services to block pirated content. Threat of prison for ISPs remains intact.

Andy Maxwell

Włoski rząd rozważa zaostrzenie regulacji dotyczących blokowanie domen i adresów IP z pirackimi treściami. Proponowane zmiany to m.in.:

• nałożenie obowiązku blokowania domen i adresów IP nie tylko na ISP, ale także na dostawców VPN;
• zniesienie limitów na maksymalną ilość permanentnych adresów IP i domen, które mają trwale blokować ISP.

Apple usuwa VPNy z rosyjskiego App Store

Apple quietly deletes nearly a hundred VPNs that allowed Russians to get around censorship

The multinational has removed dozens of apps, even though the Kremlin’s censorship body did not order the move. These services, half-permitted by the government, enable people in Russia to access social networks and independent media

Ediciones EL PAÍS S.L.Javier G. Cuesta

Apple już wcześniej blokowało w Rosji niektóre VPN-y, które były używane do obchodzenia rosyjskiej cenzury. W przeciągu ostatnich trzech miesięcy zablokował kolejne 60.

Meta ukarana ogromną grzywną za przechowywanie haseł w postaci tekstowej

Meta fined $102 million for storing passwords in plain text

The Irish Data Protection Commission (DPC) has fined Meta €91 million for a 2019 incident wherein the company stored millions of Facebook and Instagram...

EngadgetMariella Moon

Irlandzka Komisja Ochrony Danych (odpowiednik polskiego UODO) nałożyła na firmę Meta grzywnę w wysokości 101,5 miliona dolarów w związku z incydentem z 2019 roku, dotyczącym naruszenia bezpieczeństwa. Meta przez „pomyłkę” przechowywała hasła użytkowników Instagrama w formie zwykłego tekstu. Początkowo w styczniu br. Meta wydawała oświadczenie, iż sprawa dotyczyła niewielkiej liczby haseł, jednak miesiąc później firma przyznała się, iż sprawa dotyczy milionów haseł. Dokładna liczba nie jest znana, pewne źródła donoszą, iż mowa o 200 do 600 milionów kont:

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years

Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees -- in some cases going back to 2012, KrebsOnSecurity has learned. Facebook says an ongoing investigation has so far…

Krebs on SecuritySkip to content