Yeni Vizio hack, şirketin gizlilik politikasını kabul etseniz de etmeseniz de verilerinizi paylaştığını ortaya koyuyor

Avast'ın yaptığı yeni araştırma, birçok sözde 'akıllı' TV'nin gerçekte ne kadar kolay tehlikeye atıldığını ve izlenmesi için rızanızın gerçekte ne kadar az önemli olduğunu ortaya koyuyor. Bu saldırının soruşturmayla ilgisi yok dün tartıştık , Vizio’nun tanımlanabilir kullanıcı verilerini üçüncü taraflara ve reklamverenlere satma kararıyla ilgili, ancak bu sorunların çoğu birbiriyle ilişkilidir.



Avast için yazmak, Aaron McSorley, şirketin bir Vizio akıllı TV'nin güvenliğini nasıl araştırdığını ayrıntılarıyla anlatıyor. Egzersizin tüm amacı, normal bir kişinin ortadaki adam saldırısıyla akıllı bir cihazı hackleyerek nasıl etkilenebileceğini göstermekti.

Sonunda, incelediğimiz akıllı TV'nin, cihazın gizlilik politikasını ve cihazı ilk kurarken hizmet şartlarını kabul etseler de, aslında kullanıcıların etkinliklerinin parmak izlerini yayınladığını gördük. Ayrıca, cihazda, bir kullanıcının ev ağına erişmeye çalışan bir saldırgan için potansiyel bir saldırı vektörü işlevi görebilecek bir güvenlik açığını ortaya çıkardık. Bu kulağa oldukça ürkütücü geldiğinden Bulgularımız bize bildirildikten sonra Vizio'nun bu sorunları başarıyla çözdüğünü belirtmek önemlidir. (orijinal vurgu)



Genel olarak Avast'ın bulduğu şey, Vizio'nun Bilişsel Ağlara ait bir etki alanı olan control.tvinteractive.tv'ye HTTPS aracılığıyla art arda bağlanmasıydı. Araştırmacılar, televizyonun HTTPS kullandığını çabucak keşfettiler, ancak sertifikanın geçerli olup olmadığını kontrol etmediler. İsteklerinin her biri sonunda bir sağlama toplamı değeri içeriyordu - bu sağlama toplamı geçersiz hale gelirse, TV aldığı verileri kullanmayı reddediyor. Bu, sözde şifrelenmiş bilgilerin açık bir şekilde aktarıldığı bu yılın başlarında Samsung’un sorunlarından daha iyi olsa da, Vizio’nun uygun HTTPS sertifikasını kontrol edememesi hala ciddi bir kusur.

Avast, ağ menüsünde yerel komut enjeksiyonuna izin veren bir kusur bulduktan sonra, TV'yi tüm dosya sistemini iletişim kurmaya ve verilerini bir USB belleğe kopyalamaya ikna edebildi. Bu noktada ekip 'TV şaşkın' der.



Dosya sistemi diske döküldükten sonra, ilk sağlama toplamı şifrelemesini kırmak ve televizyonun kontrolünü ele geçirmek için gerekli anahtarı bulmak kolaydı.

Vizio seni izliyor

Güvenlik ekibi, TV'ye HTTPS yerine HTTP üzerinden iletim yapmasını söyleyerek TV'nin çıkışını izleyebilir ve her 1-2 saniyede bir ikili veri bloğu ilettiğini görebilirdi. Bu verilerin, o sırada ekranda oynatılanlardan alınan piksel bilgisi olduğu kanıtlandı. Bu veriler aşağıda gösterilmiştir:

Görüntü-IoT



Görüntüdeki her piksel satırı, televizyonda önceden tanımlanmış noktalardan alınan değerleri temsil eder ve her piksel sırası bir saniyeyi temsil eder. Çıplak gözle, bu tanımlanamayan bir lekeden başka bir şey değil. Bir bilgisayar için bu çok farklı bir şey. Bu tür bir veri analizinin nasıl çalıştığını anlamak için, kendi TV'nizi çevirdiğinizi ve yarı yolda en sevdiğiniz filmi veya TV şovunu yakaladığınızı hayal edin. Şovu ne kadar iyi bildiğinize bağlı olarak, bölümle ilgili her şeyi hatırlamanız yalnızca birkaç saniye sürebilir - içeriğin yalnızca bir kısmını görmüş olsanız bile.

Biz insanlar bu tür analizleri videonun tüm karesini, eşlik eden ses akışını ve en az birkaç saniye değerinde içeriği kullanarak gerçekleştiriyoruz. Bir bilgisayar, önceden belirlenmiş noktalarda ölçülen piksel verilerini kullanarak benzer bir analizi gerçekleştirebilir. Avast araştırması, televizyonun aktif olduğunda piksel verilerini her zaman iletip iletmediğini veya pozitif akış tanımlaması yapıldığında kapanıp kapanmadığını paylaşmaz, ancak her iki durumda da sistem izlediğiniz her şeyi analiz eder ve Bilişsel Ağlara geri gönderir.

Araştırmacılar, bu saldırının bir ekrana kötü amaçlı reklam veya içerik izleme enjekte etmek için kullanılabileceğini, ancak ekranda sahte reklamları gösterme çabalarında çok fazla şansları olmadığını belirtiyorlar. Aaron'a, Vizio'nun en son yazılım güncellemesinin bunu çözüp çözmediğini öğrendik ve şu söylendi: 'Vizio'nun en son aygıt yazılımı güncellemesiyle, ilk kurulum sırasında gizlilik sözleşmesini reddederseniz, TV Bilişsel Ağlar sunucularına veri göndermeyecektir. . Güncelleme ayrıca bilinen açıkları da yamalıyor. '



Durumun böyle olduğunu duyduğumuza sevindik, ancak Vizio muhtemelen yıllarca olmasa da aylardır etkilenen televizyonları gönderiyor. Bu, tüketici verilerinin tüm bu süre boyunca rıza olmadan paylaşıldığı anlamına gelir. Ve ProPublica'nın ortaya çıkardığı sorunlar hala devam ediyor - Vizio, bu programdan özellikle vazgeçmediğiniz sürece kişisel bilgilerinizi satmaya devam ediyor.

Tarihsel olarak, bu tür çabalar, tüketicinin, tedarikçinin ürünün etrafına sarmak için uygun gördüğü shrinkwrap lisansına 'Evet' i tıklayarak onları kabul ettiği iddia edilerek haklı gösterildi. Ancak bu ihlalin gösterdiği gibi, bu tür sızıntılar, herhangi bir şeyi kabul etmiş olsanız da olmasanız da meydana gelebilir.

Copyright © Tüm Hakları Saklıdır | 2007es.com