Novi Vizio hack otkriva da tvrtka dijeli vaše podatke bez obzira prihvaćate li njegovu politiku privatnosti ili ne

Novo istraživanje tvrtke Avast otkriva koliko su zapravo lako kompromitirani mnogi takozvani 'pametni' televizori, kao i koliko je zapravo važan vaš pristanak za praćenje. Ovaj hak nije povezan s istragom razgovarali smo jučer, u vezi s Viziovom odlukom o prodaji identificiranih korisničkih podataka trećim stranama i oglašivačima, iako su mnogi od ovih problema međusobno povezani.

Pisanje za Avast, Aaron McSorley iznosi detalje kako je tvrtka istraživala sigurnost pametnog televizora Vizio. Cjelokupna poanta vježbe bila je ilustrirati kako na normalnu osobu može utjecati hakiranje pametnog uređaja napadom čovjek u sredini.



Na kraju smo otkrili da je pametni TV koji smo pregledavali zapravo emitirao otiske prstiju aktivnosti korisnika, jesu li se složili s politikom privatnosti uređaja i uvjetima pružanja usluga prilikom prvog postavljanja. Osim toga, otkrili smo ranjivost unutar uređaja koja bi mogla poslužiti kao potencijalni vektor napada za napadača koji pokušava pristupiti korisničkoj kućnoj mreži. Budući da sve ovo zvuči prilično jezivo, važno je napomenuti da je Vizio uspješno riješio ove probleme nakon što je bio obaviješten o našim nalazima. (naglasak original)



Avast je, sveukupno, otkrio da se Vizio putem HTTPS-a više puta povezao s control.tvinteractive.tv, domenom u vlasništvu tvrtke Cognitive Networks. Istraživači su brzo otkrili da televizija koristi HTTPS, ali zapravo nisu provjerili je li certifikat valjan. Svaki je njegov zahtjev na kraju sadržavao vrijednost kontrolne sume - ako se ta kontrolna suma vrati nevaljanom, TV odbija koristiti podatke koje prima. Iako je to bolje od Samsungovih problema početkom ove godine, u kojima su navodno šifrirani podaci prenošeni u jasnom položaju, Vizioov propust da provjeri ispravnost HTTPS certifikata i dalje je ozbiljna mana.

Nakon što je otkrio grešku u mrežnom izborniku koji je omogućio ubrizgavanje lokalnih naredbi, Avast je uspio nagovoriti TV da komunicira cijeli svoj datotečni sustav i kopira svoje podatke na USB stick. U ovom trenutku tim kaže: 'Televizor je pronađen.'



Nakon što su datotečni sustav bacili na disk, bilo je lako pronaći potreban ključ za razbijanje početne enkripcije kontrolne sume i preuzeti kontrolu nad televizorom.

Vizio te promatra

Rekavši televizoru da emitira putem HTTP-a, umjesto HTTPS-a, sigurnosni tim mogao je gledati izlaz televizora i vidjeti da odašilje binarnu mrlju podataka svake 1-2 sekunde. Pokazalo se da su ti podaci pikselna informacija iz onoga što se u to vrijeme reproduciralo na zaslonu. Ti su podaci prikazani u nastavku:

Image-IoT



Svaka linija piksela na slici predstavlja vrijednosti preuzete iz unaprijed definiranih točaka na televizoru, a svaki red piksela predstavlja jednu sekundu. Golim okom ovo nije ništa drugo nego neidentificirani bris. Za računalo je to nešto daleko drugačije. Da biste razumjeli kako funkcionira ovakva vrsta podataka, zamislite da na svom televizoru preusmjerite omiljeni film ili TV emisiju na pola. Ovisno o tome koliko dobro poznajete emisiju, trebale bi vam samo sekunde da se prisjetite svega u vezi s epizodom - iako ste vidjeli samo djelić sadržaja.

Mi ljudi provodimo ovu vrstu analize koristeći puni video zapis, prateći audio tok i sadržaj vrijedan barem nekoliko sekundi. Računalo može obraditi analognu analizu pomoću podataka piksela izmjerenih na unaprijed određenim točkama. Istraživanje Avasta ne dijeli prenosi li televizija uvijek podatke piksela kada je aktivna ili se isključuje nakon što se napravi pozitivna identifikacija toka, ali u svakom slučaju sustav analizira sve što gledate i prenosi natrag u Kognitivne mreže.

Istraživači nastavljaju napominjati da bi se ovaj napad mogao upotrijebiti za ubrizgavanje zlonamjernog oglašavanja ili praćenja sadržaja u zaslon, iako nisu imali puno sreće u početnim naporima da prikazuju lažne oglase na zaslonu. Došli smo do Aarona da li to rješava najnovije Viziovo ažuriranje softvera, a rečeno nam je sljedeće: „S najnovijim ažuriranjem firmvera tvrtke Vizio, ako odbijete ugovor o privatnosti tijekom početnog postavljanja, televizor neće slati podatke na poslužitelje Cognitive Networks . Ažuriranje također krpi poznate eksploatacije. '

Iako nam je drago čuti da je to slučaj, Vizio je pretpostavljamo da mjesecima, ako ne i godinama, isporučuje televizije na koje se to odnosi. To znači da su se podaci potrošača dijelili bez pristanka tijekom cijelog tog razdoblja. A pitanja koja je pokrenula ProPublica i dalje ostaju - Vizio i dalje prodaje vaše osobne podatke, osim ako se posebno ne odjavite iz tog programa.

Povijesno gledano, ovakvi napori opravdani su tvrdnjom da se potrošač s njima složio klikom na 'Da' na bilo kojoj dozvoli za skupljanje, koju je dobavljač smatrao prikladnim da je omota oko proizvoda. Međutim, kao što pokazuje ovo kršenje, ove vrste curenja mogu se dogoditi bez obzira jeste li se na bilo što stvarno složili ili ne.

Copyright © Sva Prava Pridržana | 2007es.com