Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Privacy en security Gnome Software  (gelezen 121 keer)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Privacy en security Gnome Software
« Gepost op: 2018/04/14, 12:29:04 »
Artikel: https://fosspost.org/analytics/privacy-security-concern-regarding-gnome-software

Veel Linux distributies (waaronder Ubuntu) gebruiken Gnome Software voor het beheer van software op desktops. Gnome Software gebruikt “fwupd” voor het automatisch aanbrengen van firmware-updates (LVFS).

Privacy
Het programma fwupd maakt automatisch verbinding met de website fwupd.org om firmware-updates te downloaden. Ook stuurt fwupd informatie naar fwupd.org (IP adres, /etc/machine-id (hashed), naam Linux distributie, versienummer). Volgens de privacybepaling (fwupd.org/privacy) wordt informatie gedeeld met hardware leveranciers. Dit zullen veel gebruikers niet weten.

De website fwupd.org is van de ontwikkelaar – niet van een organisatie of bedrijf.

Security
Leveranciers van hardware kunnen een e-mail sturen aan de ontwikkelaar om een account te krijgen op de site fwupd.org. De leverancier kan dan firmware-updates uploaden (als binair .cab bestand).
Gnome Software (fwupd) kan het .cab bestand downloaden en automatisch installeren in de hardware (bij een herstart van de computer). De hardware leverancier is verantwoordelijk voor de kwaliteit van de updates en het is onduidelijk wie de .cab bestanden verder nog controleert.

De beveiliging van de site fwupd.org is van groot belang omdat hier dagelijks vele duizenden desktops informatie mee uitwisselen.

Oplossingen
Het artikel stelt als mogelijke oplossing voor:
1.   Koppel fwupd los van Gnome Software om te voorkomen dat er ongemerkt gegevens worden uitgewisseld met fwupd.org en automatisch firmware-updates kunnen worden geïnstalleerd.
2.   Laat gebruikers van Gnome Software zelf bepalen (opt-in) of ze fwupd willen gebruiken voor firmware-updates (iemand zou er bijvoorbeeld voor kunnen kiezen firmware-updates met Windows of FreeDOS te installeren).
3.   Maak duidelijk aan gebruikers (dialoogscherm) die fwupd willen gebruiken welke informatie wordt verzameld en waarom.
4.   Laat de website fwupd.org door een organisatie of bedrijf beheren en niet door een ontwikkelaar.

Ik kan mij wel vinden in de voorgestelde oplossingen en zie dat als een goede verbetering.

Offline EvC

  • Lid
  • Steunpunt: Nee
Re: Privacy en security Gnome Software
« Reactie #1 Gepost op: 2018/04/14, 14:58:02 »
Een pittige discussie met die fulltime Red Hat medewerker, Richard Hughes.

Amazon wordt ook in dat artikel vermeldt: en dan word ik extra kritisch.
  introverts are awesome