Naujas „Vizio“ įsilaužimas atskleidžia, kad įmonė dalijasi jūsų duomenimis, nepaisant to, ar sutinkate su jos privatumo politika, ar ne

Nauji „Avast“ tyrimai atskleidžia, kaip lengvai pažeidžiami daugelis vadinamųjų „išmaniųjų“ televizorių, taip pat tai, kiek iš tikrųjų svarbu jūsų sutikimas būti sekamam. Šis įsilaužimas nėra susijęs su tyrimu vakar diskutavome, susijusį su „Vizio“ sprendimu parduoti identifikuotinus vartotojo duomenis trečiosioms šalims ir reklamuotojams, nors daugelis šių klausimų yra susiję.

Rašymas „Avast“, Aaronas McSorley išsamiai aprašo, kaip įmonė ištyrė išmaniojo „Vizio“ televizoriaus saugumą. Visa pratybų esmė turėjo parodyti, kaip normalų žmogų galima paveikti įsilaužus į išmanųjį įrenginį per ataką „vyras viduryje“.

Galų gale mes nustatėme, kad mūsų tikrinta išmanioji televizija iš tikrųjų perdavė naudotojų veiklos pirštų atspaudus, nesvarbu, ar jie sutiko su įrenginio privatumo politika ir paslaugų teikimo sąlygomis, kai pirmą kartą jį nustatė. Be to, mes aptikome įrenginio pažeidžiamumą, kuris gali būti potencialus atakos vektorius užpuolikui, bandančiam patekti į vartotojo namų tinklą. Kadangi visa tai skamba gana kraupiai, svarbu pažymėti, kad „Vizio“ sėkmingai išsprendė šias problemas, kai buvo pranešta apie mūsų išvadas. (pabrėžiamas originalas)

Apskritai „Avast“ rado tai, kad „Vizio“ per HTTPS pakartotinai prisijungė prie pažintinių tinklų valdomo domeno control.tvinteractive.tv. Tyrėjai greitai atrado, kad televizija naudojo HTTPS, tačiau iš tikrųjų netikrino, ar sertifikatas galioja. Kiekvienoje jos užklausoje pabaigoje buvo kontrolinės sumos vertė - jei ta kontrolinė suma grįš neteisinga, televizorius atsisako naudoti gautus duomenis. Nors tai geriau nei „Samsung“ problemos šių metų pradžioje, kai tariamai užšifruota informacija buvo perduodama aiškiame, „Vizio“ nesugebėjimas patikrinti tinkamo HTTPS sertifikato vis dar yra rimtas trūkumas.

Tinklo meniu aptikęs trūkumą, leidusį įvesti vietines komandas, „Avast“ sugebėjo įtikinti televizorių perduoti visą savo failų sistemą ir nukopijuoti duomenis į USB atmintinę. Šiuo metu komanda pareiškia: „Televizorius yra sukurtas“.

Kai failų sistema buvo išmesta į diską, buvo lengva rasti reikiamą raktą, kad būtų sugadintas pradinis kontrolinės sumos šifravimas, ir perimti televizoriaus valdymą.

Vizio stebi tave

Liepdama televizoriui perduoti per HTTP, o ne HTTPS, saugos komanda galėjo žiūrėti televizoriaus išvestį ir įsitikinti, kad ji perduoda dvejetainį duomenų dėmenį kas 1-2 sekundes. Šie duomenys pasirodė esanti pikselių informacija iš to, kas tuo metu buvo rodoma ekrane. Šie duomenys rodomi žemiau:

„Image-IoT“

Kiekviena vaizdo taškų eilutė rodo vertes, paimtas iš anksto nustatytų televizoriaus taškų, o kiekviena taškų eilutė - vieną sekundę. Plika akimi tai yra ne kas kita, kaip nenustatomas tepinėlis. Kompiuteriui tai yra kažkas gerokai kitokio. Norėdami suprasti, kaip veikia tokia duomenų analizė, įsivaizduokite, kaip vartyti savo televizorių ir iš karto pagauti mėgstamą filmą ar TV laidą. Priklausomai nuo to, kaip gerai pažįstate laidą, jums gali prireikti kelių sekundžių, kol prisiminsite viską apie epizodą, nors matėte tik dalį turinio.

Mes, žmonės, atliekame tokią analizę, naudodami visą vaizdo įrašo kadrą, pridedamą garso srautą ir bent kelių sekundžių vertės turinį. Kompiuteris gali atlikti analogišką analizę naudodamas taškų duomenis, išmatuotus iš anksto nustatytuose taškuose. „Avast“ tyrimas nesidalija, ar televizorius visada perduoda pikselių duomenis, kai jis yra aktyvus, ar išsijungia, kai nustatomas teigiamas srautas, tačiau bet kuriuo atveju sistema analizuoja viską, ką žiūrite, ir perduoda atgal į pažintinius tinklus.

Tyrėjai pastebi, kad ši ataka gali būti panaudota į ekraną įterpiant kenkėjišką reklamą ar turinio stebėjimą, nors jiems nepasisekė iš pradžių stengiantis ekrane rodyti suklastotus skelbimus. Mes susisiekėme su Aaronu, ar tai išsprendžia naujausias „Vizio“ programinės įrangos atnaujinimas, ir mums buvo pasakyta taip: „Naudodami naujausią„ Vizio “programinės įrangos atnaujinimą, jei atmesite privatumo sutartį pradinio sąrankos metu, televizorius nesiųs duomenų į„ kognityvinių tinklų “serverius. . Atnaujinimas taip pat užtaiso žinomus išnaudojimus “.

Nors džiaugiamės išgirdę, kad taip yra, „Vizio“ tikriausiai kelis mėnesius, jei ne metus, siuntė paveiktus televizorius. Tai reiškia, kad vartotojų duomenys buvo dalijami be sutikimo visą šį laikotarpį. Ir „ProPublica“ iškelti klausimai vis dar išlieka - „Vizio“ vis dar parduoda jūsų asmeninę informaciją, nebent jūs specialiai atsisakote tos programos.

Istoriškai tokios pastangos buvo pateisinamos teigiant, kad vartotojas sutiko su jomis, spustelėdamas „Taip“ ant bet kurios „shrinkwrap“ licencijos, kurią tiekėjas mano esant tinkama apvynioti produktą. Kaip rodo šis pažeidimas, tokio tipo nutekėjimai gali atsirasti, nesvarbu, ar iš tikrųjų sutikote, ar ne.

Copyright © Visos Teisės Saugomos | 2007es.com