Evo malo upozorenja za vas ako posjedujete pametni televizor ili ga planirate kupiti: Milijuni uređaja imaju sigurnosne ranjivosti koje će hakerima omogućiti daljinsku promjenu kanala, razinu glasnoće i još mnogo toga. A proizvođači ovih uređaja mogu nadzirati i prikupiti puno podataka o vašim navikama gledanja, vjerojatno više nego što biste željeli.
optad_b
Neprofitna izvješća potrošača otkriće su učinila širokim procjena privatnosti i sigurnosti vrhunskih pametnih TV marki, koju je proveo u suradnji sa zaštitarskom tvrtkom Prekini vezu i istraživački institut Poredak digitalnih prava .
Ovo nije prvi put nedostaci sigurnosti i privatnosti pronađeni su u pametnim televizorima i ostalim pametnim kućanskim aparatima. Međutim, s obzirom na to da televizori povezani s internetom više od 60 posto uređaja isporučeno globalno , ove zabrinutosti su otežavajuće. Dakle, iako uživate u mogućnosti gledanja svoje omiljene usluge streaminga na TV-u s velikim zaslonom, trebali biste se čuvati i briga o sigurnosti i privatnosti koje bi mogle pratiti.
Zašto su pametni televizori ranjivi
Među nekoliko popularnih pametnih televizora koji su ispitani Consumer Reports, televizori koje su proizveli Samsung i TCL te uređaji koji koriste Godina Utvrđeno je da pametna TV platforma ima sigurnosnih nedostataka.
'Samo smo tražili dobre sigurnosne prakse', kaže Maria Rerecich, koja nadgleda testiranje elektronike u Consumer Reports. 'Šifriranje osobnih ili osjetljivih podataka, zaštita od uobičajenih ranjivosti, takve stvari.'
Istraživači su otkrili da uređaji Samsung i TCL imaju ranjivosti koje bi hakerima mogle omogućiti da 'pumpaju glasnoću od šapta do razine koja brine, brzo prelaze kroz kanale, otvaraju uznemirujući YouTube sadržaj ili televizor izbacuju s WiFi mreže'. Međutim, eksploatacije neće dopustiti napadačima da špijuniraju korisnike ili prikupljaju informacije s njihovih televizora, navodi se u izvješću.
U slučaju TCL uređaja, nedostaci su pronađeni u sučeljima aplikacijskog programiranja (API-ji) osnovne platforme Roku TV, koja se također koristi u uređajima drugih tvrtki poput Sharpa, Hisensea, LG-a i Rokuovih vlastitih streaming uređaja. API-ji su skup funkcija koje omogućuju interakciju između različitih softvera i hardvera. Tvrtke i programeri koriste Roku API za stvaranje aplikacija za svoje uređaje.
Nedostatak sigurnosti u udaljenim API pozivima platforme Roku bez sigurnosnih provjera. 'To znači da čak i krajnje nesofisticirani hakeri mogu preuzeti kontrolu nad Rokusom', kaže Eason Goodale, vodeći inženjer Disconnecta. 'To su manje zaključana vrata, a više prozirna zavjesa pored neonskog natpisa' Otvoreni smo! '.'
Da bi iskoristio ranjivost, hakeru treba pristup Wi-Fi-ju ciljanih televizora. To se može dogoditi ako se korisnik prijenosnog računala ili pametnog telefona na istoj mreži prevari da instalira zlonamjerni softver -inficirana aplikacija ili posjet web stranici sa zlonamjernim kodom.
Eksploatacija Samsung-a je malo zamršenija i radila bi samo na uređaju koji je prethodno komunicirao i dobio pristup ciljnom televizoru.
'Pametni televizori ne razlikuju se od bilo kojeg drugog generičkog [Internet of Things (IoT)] uređaja koji radi na dobro poznatom softveru koji sadrži vlastite slabosti i ranjivosti', kaže Kestas Malakauskas, SVP za cyber sigurnost u ČIJI AI , tvrtka koja pruža sigurnosna i mrežna rješenja. 'Samo je pitanje vremena kada će nova ranjivost biti identificirana u softveru X, a exploiti će biti razvijeni i dostupni u divljini za svakog kriminalca ili hakera.'
Malakauskas ističe da gotovo svi pametni televizori imaju ugrađene preglednike, koje naziva 'samo još jednim vektorom za preuzimanje i izvršavanje zlonamjernog koda'. I za razliku od naših prijenosnih računala i pametnih telefona, hardverska i softverska ograničenja u pametnim kućanskim aparatima sprječavaju ih da rade antivirusni i alati protiv špijunskog softvera .
Međutim, ne slažu se svi da su ranjivosti koje su otkrili Consumer Reports kritične prirode. “Roku stvari zahtijevaju da potencijalni napadač sjedi na istoj lokalnoj (Wi-Fi) mreži. U tom trenutku imate veće probleme ', kaže Sean Sullivan, savjetnik za sigurnost i istraživač u tvrtki za kibernetsku sigurnost F-Sigurno . Samsungova ranjivost uključuje previše 'ako', kaže Sullivan, namećući vrlo visoku cijenu hakeru koji želi petljati s glasnoćom vašeg pametnog televizora. 'Mislim da hakeri uopće neće biti motivirani tom 'ranjivošću'', kaže.
Malakauskas, međutim, napominje da, iako pametni televizori možda ne izgledaju baš zanimljivo za hakere, oni uvijek mogu poslužiti kao pristupnici hakerima kako bi se uporili u mreži vaše kuće i pomaknite se bočno da biste ukrali informacije s drugih uređaja.
Rizici privatnosti pametnih televizora
Svi pametni televizori koje su Consumer Reports pregledali zahtijevali su od korisnika da izgube podatke o gledanju kako bi koristili povezane značajke uređaja. 'Otkrili smo da nije uvijek lako razumjeti na što se slažete tijekom postupka postavljanja', kaže se u izvješću. 'A ako odbijete dozvole, možete izgubiti iznenađujuću količinu funkcionalnosti.'
Većina pametnih televizora koristi automatsko prepoznavanje sadržaja (ACR), tehnologiju koja proizvođačima omogućuje prepoznavanje i klasificiranje sadržaja koji gledate. To uključuje kabelske, emitirane emisije, streaming usluge, čak i DVD-ove i Blu-ray diskove. ACR prikuplja uzorke zvuka, slike i metapodataka s vašeg televizora i šalje ih proizvođaču, koji zatim analizira podatke kako bi razumio vaše postavke i preporučio druge emisije koje bi vas mogle zanimati za gledanje. Ali te podatke također koristi u reklamne i marketinške svrhe. 'Kasnije ne možete lako pregledati ili izbrisati ove podatke', kaže Consumer Report.
Neki od televizora omogućuju korisnicima da onemoguće ACR, a pritom pristaju na osnovni ugovor o privatnosti. Međutim, čak i oni osnovni ugovori o privatnosti mogu zahtijevati da se odreknete svoje lokacije, koje aplikacije za strujanje kliknete i još mnogo toga. Ako se ne složite s uvjetima, lišit ćete se 'pametnih' značajki vašeg televizora. 'Možete spojiti kabelsku kutiju ili antenu, ali nećete moći strujati ništa s Amazona, Netflixa ili drugih web usluga', kaže Consumer Report.
Najgore postavke privatnosti pronađene su u pametnom televizoru Sony, koji pokreće Google Android TV platforma. Postupak postavljanja izričito zahtijeva da korisnici pristanu na Googleova pravila o privatnosti.
“Činjenica da tiimaoprihvatiti Googleove uvjete i odredbe, svidjeli se njima ili ne, kako bi samo postavili uređaj, činilo mi se većim problemom od svih ostalih [nalaza] ”, kaže S-Ful Secure Sullivan. “Da ne spominjem da trenutno postoje izvještaji o Android televizori ugroženi u Kini od strane kripto-rudara. '
Sullivan kaže da ACR ne predstavlja nužno zabrinutost zbog privatnosti na uređajima koji ne zahtijevaju od korisnika da se prijavi na određeni mrežni račun. 'Ali u slučaju Android televizora, mislim da bi zahtjev (ili gotovo zahtjev) za povezivanjem računa mogao predstavljati problem / vektor koji omogućuje neželjene ciljane oglase na više platformi', kaže on.
Najnovije istraživanje Consumer Reporta otkriva širi izazovi s kojima se suočava potrošačka IoT industrija. U 2016. godini ranjivi IoT uređaji omogućili su hakerima pokretanje najveći distribuirani napad uskraćivanja usluge (DDoS) u povijesti , ometajući pristup internetskim uslugama na velikim područjima širom svijeta.
'U ovom je području još uvijek puno važnije biti prvi na tržištu od principa sigurnosnog dizajna koji se primjenjuju u svakom pametnom TV programu', kaže Malakauskas.
'Nažalost, to je uobičajena praksa, a ne samo kod pametnih televizora', slaže se Yossi Atias, generalni direktor IoT sigurnosti u Dojo by Bullguard , pokretanje IoT privatnosti i sigurnosti. “Dobavljači uređaja iskorištavaju nedostatak znanja i svijesti potrošača o privatnosti općenito. Uvijek je prikriven dugačkom složenom pravnom izjavom koju korisnici obično ne ignoriraju. Dobavljači ne bi trebali forsirati trgovinske funkcije radi privatnosti. To će se promijeniti samo ako regulatori uskoče i prisile dobavljače uređaja da zadrže privatnost korisnika prema zadanim postavkama. '
Kako zaštititi svoj pametni TV
'Bez odgovarajuće vidljivosti mrežnog prometa prosječni je potrošač vrlo teško uopće znati je li njegov uređaj ugrožen', kaže Atias.
Međutim, postoje neke mjere koje mogu minimizirati površinu napada korisnika, sugerira Atias:
- Stalno ažurirajte svoj firmver pametnog TV-a i aplikacije koje se na njemu izvode (većina pametnih televizora ima mogućnost automatskog ažuriranja).
- Dajte prednost žičanim vezama putem bežične veze jer ih je teže kompromitirati.
- Pametne televizore kupujte samo od renomiranih dobavljača koji imaju iskustva s redovitim ispravljanjem programskih pogrešaka i izdavanjem sigurnosnih ažuriranja.
- Izbjegavajte spajanje USB stickova na televizor jer mogu sadržavati zlonamjerni softver.
CUJO-ov Malakauskas preporučuje da budete sigurni da jasno razumijete uvjete i pravila i pravila o privatnosti prije aktiviranja bilo koje usluge na vašem pametnom televizoru. “Predstojeći E.U. Opća uredba o zaštiti podataka (GDPR) primorat će dobavljače da pruže detaljnije i jasnije izjave o politici privatnosti koje će potrošačima omogućiti da razumiju koji će se podaci prikupljati i kako će se koristiti “, kaže. Naravno, to neće nužno pomoći potrošačima u SAD-u
Malakauskas također upozorava na upotrebu generičkih preglednika na pametnim televizorima jer nemaju ugrađene sigurnosne kontrole za zaštitu od zlonamjernih web napada.
Potrošači također mogu instalirati a pametni uređaj za zaštitu kuće kao što su CUJO, Dojo ili F-Secure Sense. Ovi uređaji koriste niz tehnika kao što su nadzor ponašanja uređaja i inspekcija paketa za otkrivanje i blokiranje zlonamjernih aktivnosti u vašoj kućnoj mreži. Dodani sloj zaštite koji pružaju pametni uređaji za zaštitu kuće mogu nadoknaditi svojstvene ranjivosti koje postoje u IoT uređajima.
Ben Dickson je softverski inženjer i osnivač tvrtke TechTalks . Pratite njegove tweetove na @ bendee983 i njegova ažuriranja na Facebook .
Napomena urednika: Ovaj je članak ažuriran radi preglednosti.
