Allarme Smart TV di Samsung: dati non criptati via Internet

I ricercatori della società di sicurezza Pen Test Partners hanno usato uno strumento di ispezione rete studiare come vengono trasmessi via internet i dati degli Smart TV di Samsung, rivelando che i dati vocali raccolti da questi televisori vengono inviati attraverso Internet senza crittografia.

Scritto da

Simone Ziggiotto

il

La scorsa settimana, dopo che è stato scoperto che le Smart TV di Samsung potenzialmente ascoltano tutto ciò che dicono gli utenti e condividono le informazioni raccolte, un portavoce ha detto: "In tutti i nostri televisori intelligenti usiamo garanzie e le pratiche di sicurezza standard di settore, tra cui la crittografia dei dati, per proteggere le informazioni personali dei consumatori e impedire la raccolta o l’utilizzo non autorizzato.". Tuttavia, a quanto pare questo non è corretto, in quanto ora è stato scoperto che i dati vocali raccolti da questi televisori inviati attraverso Internet non sono crittografati.

I ricercatori della società di sicurezza Pen Test Partners hanno usato uno strumento di ispezione rete chiamato Wireshark per catturare e studiare i dati trasmessi dai televisori intelligenti della società sudcoreana, rivelando che le informazioni vengono inviate tramite la porta 443, che di solito è utilizzata per le connessioni HTTPS protette da TLS, e tipicamente non è protetta da firewall. Le informazioni vengono trasmesse attraverso un comune file di testo, che diventa un bersaglio facile in caso di attacchi hacker.

"Quello che vediamo qui non sono dati criptati SSL", ha detto il ricercatore David Lodge in un post sul blog. "Non sono nemmeno dati HTTP, è un mix di XML e qualche pacchetto di dati binari personalizzati". Le informazioni che sono trasmesse includono l’indirizzo MAC del televisore, la versione del sistema operativo in uso, e, naturalmente, l’audio.

Anche i dati inviati dai server di elaborazione arrivano sul televisore in maniera non crittografata, hanno detto i ricercatori, aggiungendo che sono stati anche in grado di decodificare l’audio vocale codificato dal tv, il che significa che hanno potuto avere il pieno controllo dei comandi vocali degli utenti.

La privacy policy della società dice che Samsung può raccogliere "comandi vocali da associare a testi in modo da poter fornire la funzionalità di riconoscimento vocale e valutare e migliorare le caratteristiche". Oltre a questo, "Si prega di essere consapevoli del fatto che se le parole pronunciate includono informazioni sensibili personali o altro, l’informazione sarà tra i dati acquisiti e trasmessi a terzi attraverso l’utilizzo del riconoscimento vocale."

Una portavoce Samsung ha quindi risposto: "Samsung prende la privacy dei consumatori molto seriamente. In tutta la nostra linea di Smart TV impieghiamo garanzie standard del settore della sicurezza, tra cui la crittografia dei dati, per garantire che le informazioni personali dei consumatori non vengano raccolti o utilizzati senza autorizzazione". Il portavoce di Samsung ha continuato a spiegare: "Qualora i consumatori abilitano la funzione di riconoscimento vocale, i dati voce servono a comporre comandi per la TV, o frasi di ricerca. Gli utenti possono facilmente riconoscere se la funzione di riconoscimento vocale è attiva, perché l’icona di un microfono appare sullo schermo."

Insomma, Samsung deve spiegare bene come raccoglie e che utilizzo fa dei comandi vocali che raccoglie attraverso le sue SmartTV, perchè sta per iniziare un altro grande dibattito sul tema della privacy che rischia di non rimanere più all’interno della mura domestiche.

Update: Samsung è a conoscenza del problema e sta lavorando su una correzione. L’azienda dice che i nuovi modelli di Smart TV del 2015 includono la crittografia, mentre i dispositivi più vecchi riceveranno un aggiornamento.

Impostazioni privacy