Gaia Bottà

Smart TV Samsung, non è ancora finita

Se è ormai noto che i comandi vocali impartiti dall'utente al dispositivo vengono trasmessi a server di terze parti, Samsung è ora costretta ad ammettere che per certe TV i dati sono scambiati in chiaro, intercettabili da chiunque

Roma - Sotto accusa prima per le inquietanti pratiche di raccolta e analisi dei comandi vocali, poi per le inspiegabili inoculazioni di pubblicità, la divisione di Samsung dedicata alle Smart TV è costretta ora a giustificare una grave falla di sicurezza che investe la trasmissione delle registrazioni vocali raccolte ed elaborate: quanto pronunciato dagli utenti, tra comandi impartiti al televisore e frammenti di conversazioni domestiche, vengono scambiati in chiaro.

A rilevare il problema è David Lodge, della security company Pen Test Partner, incuriosito dalle pratiche di gestione dei comandi vocali adottate da Samsung per i propri televisori. Lodge conferma in primo luogo quanto precisato da Samsung: il televisore avvia la registrazione della voce dell'utente esclusivamente dopo le parole chiave dedicate ad innescare l'attivazione del sistema di input vocale, e trasmette a server di terze parti lo stralcio audio solo nel caso in cui si tratti di una richiesta complessa, quale ad esempio una ricerca da effettuare in Rete. Esattamente come Samsung si è premurata di chiarire, dopo le polemiche relative alla policy.

Quello che Samsung ha omesso di precisare sono le modalità con cui certe Smart TV e il server remoto si scambiano informazioni: Lodge, analizzando il traffico di Rete tra la televisione e i server di terze parti, ha osservato che non tutti i dati risultano cifrati, come ci si aspetterebbe dalla scelta della porta 433, dedicata in genere alle comunicazioni HTTPS.
Dati in chiaro

L'indirizzo MAC del dispositivo, associato alla versione del sistema operativo che monta, ha osservato Lodge, sono visibili in chiaro, come è visibile in chiaro la trascrizione di ciò che l'utente ha pronunciato per impartire un comando, ritrasmessa dal server al televisore. Anche la registrazione audio, ha aggiunto il collega Ken Munro, è stata intercettata e decifrata senza troppe difficoltà.

I ricercatori avvertono: dai vicini di casa a chiunque si agganci alla rete WiFi domestica, passando per i fornitori di connettività e per chiunque possa accedere al flusso di dati che scorre sulle backbone, senza l'impiego del protocollo SSL tutti i soggetti interessati possono intercettare gli ordini impartiti dall'utente alla propria Smart TV Samsung, e le conversazioni domestiche che gli fanno da contorno.

Samsung, che nei giorni scorsi aveva assicurato l'impiego di solidi standard di cifratura, si è affrettata a porgere le proprie giustificazioni, riconducendo il problema di sicurezza ai dispositivi più datati: "i nostri prodotti sono progettati con particolare attenzione rispetto alla privacy - ha dichiarato l'azienda - Le nostre più recenti Smart TV sono già dotate di sistemi di cifratura e un aggiornamento software sarà presto disponibile per gli altri modelli".

Gaia Bottà
Notizie collegate
  • AttualitàSmart TV, dalle cimici alle farciture pubblicitarieMentre Samsung fa chiarezza sul sistema di controllo vocale dei propri televisori, utenti australiani avvistano pop-up pubblicitari che interrompono la fruizione. L'azienda parla di errore tecnico
  • SicurezzaSmart TV, cimici in salotto?I televisori Samsung ascoltano le conversazioni che si intessono presso il focolare domestico e le trasmettono a terze parti perché vengano analizzate e trasformate in comandi. La privacy non è a rischio, assicura l'azienda
  • SicurezzaLG, una TV guardonaRaccoglie informazioni sulle abitudini degli utenti e le trasmette ai server dedicati, in chiaro. Fra i dati trasmessi, anche quelli relativi ai file conservati su dispositivi esterni. In arrivo un aggiornamento per risolvere il problema
9 Commenti alla Notizia Smart TV Samsung, non è ancora finita
Ordina
  • Vi scandalizzate per così poco,
    C'è ben peggio basta pensare Siri delle iphone anche quest'applicazione manda i campioni ai server di Apple scusate dicevo qui della NSA.
    non+autenticato
  • È finita! Deluso

    Portagliela su. Annoiato
    non+autenticato
  • chi l'avrebbe mai detto ... spero almeno che chi usa la smartTV di qualsiasi marca l'abbia pagata zero ed abbia ricevuto almeno 100 euro al mese per il suo utilizzo ... ovviamente il costo dei film deve essere zero. In questo caso la situazione si potrebbe considerare ancora tollerabile, io perdo consapevolmente un pò di privacy, ma a fine anno ho guadagnato un migliaio di euro.
    non+autenticato
  • Secondo me il fatto che la comunicazione sia in chiaro, non criptata, in questo caso, potrebbe non essere così sbagliato: almeno possiamo sapere *COSA* viene inviato e in quale modo; se fosse criptato sapremmo che un blob di dati è stato inviato ma non avremmo la certezza che si tratta solo del pacchetto audio e non, che so io, l'elenco dei file presenti sul disco USB connesso o l'elenco dei programmi TV guardati il giorno precedente.

    Il vecchio MSN Messenger usava un protocollo in chiaro per tutto tranne l'autenticazione della password: tutti potevano leggere ciò che viene scritto in chat. Skype usa tutti protocolli criptati anche per l'invio di testo: l'NSA sicuramente può decriptare lo stesso i messaggi, così come i sistemisti microsoft (ma probabilmente il mio provider no); ma chi mi garantisce che, un byte a messaggio, non venga inviato anche tutto il contenuto del mio disco C ed io non avrò mai le chiavi per poterlo scoprire?
    non+autenticato
  • - Scritto da: Jack
    > Secondo me il fatto che la comunicazione sia in
    > chiaro, non criptata, in questo caso, potrebbe
    > non essere così sbagliato: almeno possiamo sapere
    > *COSA* viene inviato e in quale modo; se fosse
    > criptato sapremmo che un blob di dati è stato
    > inviato ma non avremmo la certezza che si tratta
    > solo del pacchetto audio e non, che so io,
    > l'elenco dei file presenti sul disco USB connesso
    > o l'elenco dei programmi TV guardati il giorno
    > precedente.
    >
    > Il vecchio MSN Messenger usava un protocollo in
    > chiaro per tutto tranne l'autenticazione della
    > password: tutti potevano leggere ciò che viene
    > scritto in chat. Skype usa tutti protocolli
    > criptati anche per l'invio di testo: l'NSA
    > sicuramente può decriptare lo stesso i messaggi,
    > così come i sistemisti microsoft (ma
    > probabilmente il mio provider no); ma chi mi
    > garantisce che, un byte a messaggio, non venga
    > inviato anche tutto il contenuto del mio disco C
    > ed io non avrò mai le chiavi per poterlo
    > scoprire?
    Morale?
    Meglio dare via tutti i propri dati in chiaro, perché c'è il rischio che li mandino quando sono criptati? Mi pare un volo pindarico...
    non+autenticato
  • - Scritto da: Ethype
    > Morale?
    > Meglio dare via tutti i propri dati in chiaro,
    > perché c'è il rischio che li mandino quando sono
    > criptati? Mi pare un volo pindarico...

    No, dico solo che in questo caso so per certo *quali* dati sono rubati, mentre se fossero criptati potrebbero essere anche di più.

    ovviamente se nessun dato venisse "telefonato a casa" sarebbe meglio.

    Tra l'altro, perché dovrei "trustare" di più samsung (o apple nel caso di siri, o microsoft nel caso di cortana) rispetto al sistemista di telecom, british telecom o level3 che la notte si annoia e legge ciò che viene detto al televisore dalla gente?
    non+autenticato
  • - Scritto da: Jack
    > - Scritto da: Ethype
    > > Morale?
    > > Meglio dare via tutti i propri dati in chiaro,
    > > perché c'è il rischio che li mandino quando sono
    > > criptati? Mi pare un volo pindarico...
    >
    > No, dico solo che in questo caso so per certo
    > *quali* dati sono rubati, mentre se fossero
    > criptati potrebbero essere anche di
    > più.
    >
    > ovviamente se nessun dato venisse "telefonato a
    > casa" sarebbe meglio.
    >
    > Tra l'altro, perché dovrei "trustare" di più
    > samsung (o apple nel caso di siri, o microsoft
    > nel caso di cortana) rispetto al sistemista di
    > telecom, british telecom o level3 che la notte si
    > annoia e legge ciò che viene detto al televisore
    > dalla gente?

    Pretendere i sorgenti è l'unica soluzione.
    non+autenticato
  • una volta che 'siamo al sicuro con le sessioni ssl e payload crittografati', il crapware samsung sara' piu' scomodo da individuare e decodificare cosa fa' ....
    quello di cui ci frega e' proprio quello che fa o non fa' invece... e magari manipolarlo for fun & co o spegnerlo del tutto.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)