Milljónir snjallsjónvarpa eru viðkvæmir fyrir tölvuþrjótum

Milljónir snjallsjónvarpa eru viðkvæmir fyrir tölvuþrjótum

Hér er smá viðvörun fyrir þig ef þú átt snjallsjónvarp eða hyggst kaupa eitt: Milljónir tækjanna eru með öryggisveikleika sem gerir tölvuþrjótum kleift að breyta rásum, hljóðstyrk og fleira. Og framleiðendur þessara tækja geta fylgst með og safnað miklum upplýsingum um áhorfsvenjur þínar, líklega meira en þú vilt.



Skýrslurnar sem ekki eru reknar í hagnaðarskyni gerðu uppgötvunina í stórum dráttum næði og öryggismat af helstu snjöllu sjónvarpsvörumerkjunum, sem það stóð fyrir í samvinnu við öryggisfyrirtækið Aftengjast og rannsóknarstofnun Röðun stafrænna réttinda .

Þetta er ekki í fyrsta skipti sem öryggis- og friðhelgi einkalífs fundust í snjöllum sjónvörpum og öðrum snjöllum heimilistækjum. Hins vegar með nettengd sjónvörp sem gera grein fyrir meira en 60 prósent af tækjunum sem sendar eru um allan heim , þessar áhyggjur eru enn þyngri. Svo þó að þú njótir möguleikans á að horfa á uppáhalds streymisþjónustuna þína á sjónvarpinu á stóra skjánum, þá ættir þú einnig að varast öryggið og friðhelgi sem það gæti farið eftir.



Hvers vegna snjall sjónvörp eru viðkvæm

Meðal nokkurra vinsælustu snjallsjónvarpanna sem neytendaskýrslur voru skoðaðar, sjónvörp frá Samsung og TCL og tæki sem nota Ár snjall sjónvarpsvettvangur reyndist hafa öryggisgalla.

„Við vorum bara að leita að góðum öryggisvenjum,“ segir Maria Rerecich, sem hefur umsjón með raftækjaprófunum hjá Consumer Reports. „Dulkóðun persónulegra eða viðkvæmra gagna, vernd gegn algengum veikleikum, þess háttar hlutum.“

Vísindamennirnir komust að því að Samsung og TCL tæki höfðu veikleika sem gætu gert tölvuþrjótum kleift að „dæla hljóðinu frá hvíslandi upp í hrópandi stig, hjóla hratt í gegnum rásir, opna truflandi YouTube efni eða sparka sjónvarpinu af WiFi netinu.“ Aðgerðirnar láta ekki árásarmenn njósna um notendur eða safna upplýsingum úr sjónvörpum þeirra, segir í skýrslunni.

Ef um er að ræða TCL tæki fundust gallarnir á forritunarviðmótum forrita (API) á undirliggjandi Roku sjónvarpsvettvangi, sem einnig er notaður í tækjum framleidd af öðrum fyrirtækjum eins og Sharp, Hisense, LG og Roku eigin streymitækjum. Forritaskil eru fjöldi aðgerða sem gera kleift að hafa samskipti milli mismunandi hugbúnaðar og vélbúnaðar. Fyrirtæki og forritarar nota Roku API til að búa til forrit fyrir tæki sín.



Skortur á öryggi í fjarstýrðum API símtölum Roku án öryggisathugana. „Þetta þýðir að jafnvel afar óvandaðir tölvuþrjótar geta tekið stjórn á Rokus,“ segir Eason Goodale, aðalverkfræðingur Disconnect. „Þetta er minna af læstum dyrum og meira af gluggatjaldi við hliðina á neonskilti„ Við erum opin! “.“

Til að nýta varnarleysið þyrfti tölvusnápur aðgang að Wi-Fi interneti sem miða að sjónvarpinu. Þetta getur gerst ef notandi fartölvu eða snjallsíma á sama neti er blekktur til að setja upp spilliforrit -sýkt app eða heimsótt vefsíðu með illgjarnan kóða.



Samsung nýtingin er svolítið erfiðari og myndi aðeins virka á tæki sem áður hafði haft samskipti við og fengið aðgang að miða sjónvarpinu.

„Snjall sjónvörp eru ekkert öðruvísi en önnur almenn [Internet of Things (IoT)] tæki sem keyra á þekktum hugbúnaði sem inniheldur eigin veikleika og veikleika,“ segir Kestas Malakauskas, framkvæmdastjóri netöryggis hjá HVERNI AI , fyrirtæki sem veitir öryggis- og netlausnir. „Það er bara tímaspursmál hvenær nýr veikleiki verður greindur í hugbúnaði X og nýtingar verða þróaðar og gerðar aðgengilegar í náttúrunni fyrir alla glæpamenn eða tölvuþrjóta sem eru til staðar.“

Malakauskas bendir á að næstum öll snjallsjónvörp séu með innbyggða vafra, sem hann kallar „bara enn einn vektorinn til að hlaða niður og framkvæma illgjarnan kóða.“ Og ólíkt fartölvum okkar og snjallsímum koma takmarkanir á vélbúnaði og hugbúnaði í snjöllum heimilistækjum í veg fyrir að þær gangi antivirus og antispyware verkfæri .

Hins vegar eru ekki allir sammála um að varnarleysið sem uppgötvað er í neytendaskýrslum sé mikilvægt í eðli sínu. „Roku dótið krefst þess að verðandi árásarmaður sitji á sama staðarneti (Wi-Fi). Á þeim tímapunkti hefurðu stærri vandamál, “segir Sean Sullivan, öryggisráðgjafi og vísindamaður hjá netöryggisfyrirtækinu F-Secure . Viðkvæmni Samsung felur í sér of mörg „ef,“ segir Sullivan og leggur mjög mikinn kostnað á tölvuþrjót sem vill fikta í rúmmáli snjallsjónvarpsins þíns. „Ég held að tölvuþrjótar muni alls ekki verða til vegna þessa„ viðkvæmni “,“ segir hann.



Malakauskas bendir þó á að þó að snjall sjónvörp líti kannski ekki út fyrir að vera mjög áhugavert skotmark fyrir tölvuþrjóta, þá geti þau alltaf starfað sem gáttir fyrir tölvuþrjóta til að ná fótfestu innan símkerfis heimilisins og færa sig til hliðar til að stela upplýsingum úr öðrum tækjum.

Persónuverndaráhætta snjall sjónvarps

Öll snjallsjónvörpin sem Neytendaskýrslur fóru yfir þurftu notendur að fyrirgefa áhorfsgögnum sínum til að nota tengda eiginleika tækisins. „Við komumst að því að það er ekki alltaf auðvelt að skilja hvað þú samþykkir þegar þú ferð í gegnum uppsetningarferlið,“ segir í skýrslunni. „Og ef þú hafnar heimildum geturðu tapað furðu mikilli virkni.“

Flest snjall sjónvörp nota sjálfvirka efnisgreiningu (ACR), tækni sem gerir framleiðendum kleift að bera kennsl á og flokka efnið sem þú ert að skoða. Þetta felur í sér kapalútsendingar, loftnetútsendingar, streymisþjónustu og jafnvel DVD og Blu-geisladiska. ACR safnar hljóð-, mynd- og lýsigögnum úr sjónvarpinu þínu og sendir það til framleiðandans, sem síðan greinir gögnin til að skilja óskir þínar og mælir með öðrum þáttum sem þú gætir haft áhuga á að horfa á. En það notar þessar upplýsingar einnig í auglýsinga- og markaðsskyni. „Þú getur ekki auðveldlega farið yfir eða eytt þessum gögnum síðar,“ segir í neytendaskýrslunni.

Sum sjónvarpstækin gera notendum kleift að slökkva á ACR meðan þeir samþykkja ennþá grundvallar persónuverndarsamning. Hins vegar gætu jafnvel þessir grundvallar persónuverndarsamningar krafist þess að þú gefir upp staðsetningu þína, hvaða straumforrit þú smellir á og fleira. Ef þú samþykkir ekki skilmálana sviptur þig „snjöllu“ eiginleikum sjónvarpsins þíns. „Þú getur tengt kapalbox eða loftnet, en þú munt ekki geta streymt neinu frá Amazon, Netflix eða annarri vefþjónustu,“ segir í neytendaskýrslu.

Verstu persónuverndarstillingarnar fundust í snjallsjónvarpi Sony, sem er knúið af Google Android sjónvarp pallur. Uppsetningarferlið krefst þess sérstaklega að notendur samþykki persónuverndarstefnu Google.

„Sú staðreynd að þúhafðiað samþykkja skilmála Google, eins og þau eða ekki, til að setja upp tækið virtist mér vera meiri vandamál en allar aðrar [niðurstöðurnar], “segir Sullivan hjá F-Secure. „Svo ekki sé minnst á að nú eru skýrslur um Android sjónvörp eru í hættu í Kína af dulritunarmanni. “

Sullivan segir að ACR jafngildi ekki endilega friðhelgi einkalífs í tækjum sem þurfa ekki notandann til að skrá sig inn á tiltekinn netreikning. „En þegar um er að ræða Android sjónvörp, held ég að krafan (eða nánast krafan) um að tengja reikning gæti verið vandamál / vigur sem gerir ráð fyrir óæskilegum miðuðum auglýsingum yfir vettvang,“ segir hann.

Nýjustu rannsóknir neytendaskýrslunnar sýna víðtækari áskoranir sem IoT iðnaður neytenda stendur frammi fyrir. Árið 2016 gerðu viðkvæmir IoT-tækjum tölvuþrjótum kleift að ræsa stærsta dreifða afneitun á þjónustu (DDoS) árás sögunnar , trufla aðgang að netþjónustu á stórum svæðum um allan heim.

„Á þessu sviði er ennþá miklu mikilvægara en meginreglur um öryggishönnun eru notaðar í hverju snjallsjónvarpsforritinu,“ segir Malakauskas.

„Því miður eru þetta algeng vinnubrögð og ekki aðeins með snjallsjónvarp,“ samþykkir Yossi Atias, framkvæmdastjóri IoT öryggis hjá Dojo eftir Bullguard , IoT persónuvernd og gangsetning öryggis. „Tækjasalarnir nýta sér skort á þekkingu og vitund neytenda til einkalífs almennt. Það er alltaf dulið með löngum flóknum lögfræðilegum fullyrðingum sem notendur hafa tilhneigingu til að hunsa ekki. Söluaðilar ættu ekki að knýja fram virkni í viðskiptum vegna einkalífs. Það mun aðeins breytast ef eftirlitsaðilar munu taka þátt og neyða söluaðila tækjanna til að halda næði notandans sjálfgefið. “

Hvernig á að vernda snjallsjónvarpið þitt

„Án almennilegs sýnileika fyrir netumferðina er mjög erfitt fyrir venjulegan neytanda að vita jafnvel hvort tæki hans hafi verið skert,“ segir Atias.

Hins vegar eru nokkrar ráðstafanir sem geta lágmarkað árásarflöt notenda, bendir Atias á:

  • Uppfærðu stöðugt snjallsjónvarpsbúnaðinn þinn og forritin sem keyra á honum (flest snjall sjónvörp hafa sjálfvirkan uppfærsluvalkost).
  • Kjóstu hlerunarbúnaðartengingar umfram þráðlaust vegna þess að það er erfiðara að gera málamiðlun.
  • Kaupðu aðeins snjall sjónvörp frá virtum söluaðilum sem hafa afrekaskrá um að laga villur reglulega og gefa út öryggisuppfærslur.
  • Forðastu að tengja USB prik við sjónvarpið því þeir gætu innihaldið spilliforrit.

Malakauskas CUJO mælir með því að ganga úr skugga um að þú skiljir skilmála og skilmála og persónuverndarstefnu greinilega áður en þú virkjar einhverja þjónustu í snjallsjónvarpinu þínu. „Væntanlegt E.U. Almenn persónuverndarreglugerð (GDPR) mun knýja söluaðila til að leggja fram ítarlegri og skýrari yfirlýsingar um persónuvernd sem gera neytendum kleift að skilja hvaða gögnum verður safnað og hvernig þau verða notuð, “segir hann. Auðvitað mun það ekki endilega hjálpa neytendum í Bandaríkjunum

Malakauskas varar einnig við því að nota almennar vafrar í snjöllum sjónvörpum vegna þess að þeir hafa ekki innbyggða öryggisstýringu til að vernda gegn illgjarnri vefárás.

Neytendur geta einnig sett upp a snjallt heimilisverndartæki svo sem CUJO, Dojo eða F-Secure Sense. Þessi tæki nota samsetta tækni, svo sem eftirlit með atferli tækja og pakkaskoðun til að greina og loka fyrir illvirki á heimanetinu þínu. Viðbótarlag öryggisbúnaðar fyrir snjallheimili veitir getur bætt upp þá veikleika sem eru í IoT tækjum.

Ben Dickson er hugbúnaðarverkfræðingur og stofnandi TechTalks . Fylgdu tístum hans kl @ bendee983 og uppfærslur hans á Facebook .

Athugasemd ritstjóra: Þessi grein hefur verið uppfærð til glöggvunar.