到目前为止,对 Pogoplug 安全风险的任何搜索都没有带来任何令人担忧的结果。只是想知道是否有其他人遇到过有关此设备的安全问题。
答案1
让我们深入研究一下堆栈并看看其安全性的各个方面。
远程计算机:很容易通过键盘记录器在不值得信任的计算机上受到攻击,因此如果你 a) 只从你的(值得信任的)计算机访问你的 Pogoplug,b) 经常更改密码(即至少每 6 周一次),或者 c) 使用非常棒的Keepass2.x 具有通过模拟按键、剪贴板和箭头键对密码进行加密然后解密的功能。
远程计算机的互联网-您的 Pogoplug:不太容易受到损害,因为 Pogoplug(如果评论正确的话)完全在安全套接字 (SSL) 下运行,这意味着远程计算机和 pogoplug 之间的任何数据都使用加密算法加密,只有量子计算机才能在宇宙爆炸之前破解。
弹簧插头:由于它运行的是 ARM(仅在手机中很常见)和 Linux,因此不存在任何令人失眠的病毒或威胁。除非有人对它发起 DDoS 攻击(假设您的儿子不是奥萨马·本·拉登或 4chan 的目标),否则没有人能够 a) 在没有代码的情况下进入它,或者 b) 不在乎。
你的儿子和他的朋友们:这是最重要的部分,因为大多数现代计划都涉及利用人类心理和在巨大压力下无法合理思考。可能发生的最糟糕的事情是,你的儿子在不知情的情况下意外更改了 Pogoplug 的隐私设置,或者忘记退出借来的或公共的计算机。
总之:Pogoplug 本身并不是一个安全问题,使用它的人才是。出于同样的原因,如今网络钓鱼骗局如此普遍。
编辑:我应该提到,当我分析安全弱点时,我假设有一些超级强大的团体在追捕你的儿子(例如 NSA、基地组织)。否则,人们甚至尝试我在此处展示的最坏情况攻击的可能性都几乎为零。
答案2
pogoplug 本质上是与制造商的服务器建立连接并通过它提供内容(至少部分如此)。在我看来,这是一个安全问题,但对于大多数人来说,它并不比在 Facebook 上发布照片并只让好友看到它们更危险。
您相信制造商会主动保护您的数据,而不是通过设计良好的密码验证方案(例如)来被动保护您的数据。
这是基于我所读到的有关 pogoplug 的内容,最近内容很少,还有一些内容较多,但都是很久以前的事情了。
答案3
没有!
最近我在行业媒体上听到了很多关于这种设备的消息,但我没有看到任何关于安全性的消息。
话虽如此,没有人可以说任何产品是 100% 安全的,而且该公司似乎确实会长期存在,所以我相信他们会修补任何问题。
答案4
它基本上是一个带有自定义 Web 界面的 Linux 服务器,因此,无论 Linux 普遍存在什么漏洞,pogoplug 以及特定安装的应用程序也存在漏洞,我不知道这些漏洞,因为我没有安装过。更大的风险是无法更改默认密码,以及拥有用于共享文件的东西所带来的一般隐私问题。