Schnüffelei bei Reparaturen

Forscher der School of Computer Science, University of Guelph, Kanada, berichten in einer neuen Studie über ihre Ergebnisse, die darauf hindeuten, dass es durchaus üblich ist, dass Reparaturtechniker die privaten Daten der Kunden ausspähen. Während sich viele PC- und Smartphone-Besitzer Sorgen darüber machen, wie gefährdet ihre Daten sind, wenn sie ein Gerät zur Reparatur geben, wollte diese Studie herausfinden, wie verbreitet das Schnüffeln bei großen und kleinen Reparaturdienstleistern ist.

Die Forscher fanden außerdem heraus, dass die meisten Anbieter von Elektronikreparaturen keine Datenschutzrichtlinien oder -protokolle haben, um ihre Kunden vor dem Ausspähen der Gerätedaten durch Techniker zu schützen, und dass sie standardmäßig auch dann nach den Anmeldedaten des Betriebssystems fragen, wenn diese für die Reparatur nicht erforderlich sind.

Zu diesem Zweck brachten die Forscher sechs neu gekaufte Windows 10-Laptops zur Reparatur, wobei das Audio-Laufwerk deaktiviert war, um den Eindruck zu erwecken, dass es ein Problem gab, das behoben werden musste. Nachdem die Geräte repariert und zurückgegeben worden waren, analysierten die Forscher die Geräteprotokolle, um zu prüfen, ob während der Reparatur Verstöße gegen den Datenschutz vorgekommen waren.

Sie brachten die sechs Laptops zwischen Oktober und Dezember 2021 zu 16 kleinen, regionalen und nationalen Reparaturdienstleistern. Drei Geräte wurden mit einer männlichen Persona und drei mit einer weiblichen Persona konfiguriert. Sie rekrutierten drei männliche und drei weibliche Versuchspersonen, die die Geräte zur Reparatur brachten.

Die Forscher fanden heraus, dass Techniker bei sechs der 16 Anbieter Kundendaten ausspähten, während Techniker bei zwei Anbietern Daten auf externe Geräte kopierten. Von den sechs Standorten, an denen geschnüffelt wurde, entfernten drei Beweise, während einer so vorging, dass keine Beweise erzeugt wurden.

Die Forscher wählten das Audio-Problem zur Behebung aus, weil es leicht zu reparieren war und im Gegensatz zur Entfernung von Malware keinen Zugriff auf die Benutzerdateien erforderte, um es zu beheben. Die Forscher fanden heraus, dass ein Techniker bei einem nationalen Anbieter auf die freizügigen Bilder einer Versuchsperson zugriff.

Bei regionalen Dienstleistern wurde die Privatsphäre von männlichen und weiblichen Probanden verletzt, indem auf Dokumente, Bilder und freizügige Fotos zugegriffen wurde. Der Browserverlauf eines männlichen Probanden wurde von einem Techniker eingesehen, und freizügige Bilder wurden gezippt und auf ein externes Speichergerät übertragen.

Bei den lokalen Dienstanbietern wurde festgestellt, dass ein Techniker auf den Browserverlauf eines männlichen Teilnehmers zugegriffen hatte, während ein Techniker in dieser Gruppe auf die Dokumente, Bilder und freizügigen Bilder einer weiblichen Teilnehmerin zugriff und eine Datei mit Passwörtern und freizügigen Bildern auf ein externes Gerät kopierte.

Darüber hinaus löschten die Techniker von drei Dienstleistern Elemente in der Schnellzugriffsliste von Windows oder in der Liste der zuletzt verwendeten Dateien. In einem anderen Fall vergrößerten die Techniker die Miniaturansichten, so dass sie keine Spuren des Zugriffs auf die Datei hinterließen.

Die Elektronikreparaturbranche bietet wirtschaftliche und ökologische Vorteile, schreiben Khan und seine Forscherkollegen in dem Papier. „Es besteht jedoch ein dringender Bedarf, die derzeitigen Datenschutzpraktiken in der Branche zu messen, die Sichtweise der Kunden zu verstehen und wirksame Kontrollen zu entwickeln, die die Privatsphäre der Kunden schützen.