Sotto accusa prima per le inquietanti pratiche di raccolta e analisi dei comandi vocali , poi per le inspiegabili inoculazioni di pubblicità , la divisione di Samsung dedicata alle Smart TV è costretta ora a giustificare una grave falla di sicurezza che investe la trasmissione delle registrazioni vocali raccolte ed elaborate: quanto pronunciato dagli utenti, tra comandi impartiti al televisore e frammenti di conversazioni domestiche, vengono scambiati in chiaro.
A rilevare il problema è David Lodge, della security company Pen Test Partner , incuriosito dalle pratiche di gestione dei comandi vocali adottate da Samsung per i propri televisori. Lodge conferma in primo luogo quanto precisato da Samsung: il televisore avvia la registrazione della voce dell’utente esclusivamente dopo le parole chiave dedicate ad innescare l’attivazione del sistema di input vocale, e trasmette a server di terze parti lo stralcio audio solo nel caso in cui si tratti di una richiesta complessa, quale ad esempio una ricerca da effettuare in Rete. Esattamente come Samsung si è premurata di chiarire, dopo le polemiche relative alla policy.
Quello che Samsung ha omesso di precisare sono le modalità con cui certe Smart TV e il server remoto si scambiano informazioni: Lodge, analizzando il traffico di Rete tra la televisione e i server di terze parti, ha osservato che non tutti i dati risultano cifrati , come ci si aspetterebbe dalla scelta della porta 433, dedicata in genere alle comunicazioni HTTPS.
L’indirizzo MAC del dispositivo, associato alla versione del sistema operativo che monta, ha osservato Lodge, sono visibili in chiaro, come è visibile in chiaro la trascrizione di ciò che l’utente ha pronunciato per impartire un comando, ritrasmessa dal server al televisore. Anche la registrazione audio , ha aggiunto il collega Ken Munro, è stata intercettata e decifrata senza troppe difficoltà.
I ricercatori avvertono : dai vicini di casa a chiunque si agganci alla rete WiFi domestica, passando per i fornitori di connettività e per chiunque possa accedere al flusso di dati che scorre sulle backbone, senza l’impiego del protocollo SSL tutti i soggetti interessati possono intercettare gli ordini impartiti dall’utente alla propria Smart TV Samsung, e le conversazioni domestiche che gli fanno da contorno.
Samsung, che nei giorni scorsi aveva assicurato l’impiego di solidi standard di cifratura, si è affrettata a porgere le proprie giustificazioni, riconducendo il problema di sicurezza ai dispositivi più datati : “i nostri prodotti sono progettati con particolare attenzione rispetto alla privacy – ha dichiarato l’azienda – Le nostre più recenti Smart TV sono già dotate di sistemi di cifratura e un aggiornamento software sarà presto disponibile per gli altri modelli”.
Gaia Bottà