Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Szpiegujące telewizory: nowe fakty i odpowiedź LG
Jak wiemy dzięki wnikliwym obserwacjom użytkowników telewizorów z serii LG Smart, urządzenia te wysyłają do swego producenta szereg informacji mogących zagrozić naszej prywatności. W końcu doczekaliśmy się oficjalnej odpowiedzi firmy LG, w międzyczasie pojawiły się jednak również nowe fakty odnośnie zbieranych informacji.
Dzięki analizie pewnego blogera cały świat dowiedział się przed kilkoma dniami o niepokojących funkcjach telewizorów LG Smart. Jak się okazało, urządzenia tego koreańskiego producenta nawet pomimo wyłączenia odpowiedniej opcji w menu, zbierają i wysyłają do własnej centrali informacje o oglądanych programach oraz zawartości podłączanych nośników USB.
To jednak nie koniec całej historii. Jak zauważył inny bloger na przykładzie własnego modelu telewizora LG 42LS570T, zbierane oraz wysyłane są również informacje o zawartości widocznych w sieci lokalnej udziałów sieciowych!
Podobnie, jak w przypadku zawartości nośników USB, serwer odpowiada kodem błędu 404, co jednak nie daje żadnej pewności, że dane nie są zapisywane! Pamiętajmy również, że transmisja nie jest szyfrowana, po drodze może więc zostać w prosty sposób podsłuchana.
Dodatkowo Mark zauważył, że jego telewizor LG wysyła specyficzną informację (zawierająca unikalne ID danego egzemplarza) przy każdym włączeniu oraz wyłączeniu, co może dawać producentowi interesujące statystyki wykorzystania poszczególnych urządzeń.
Po włączeniu urządzenia, przykład takiego „zameldowania się” w centrali wygląda następująco:
GET /rest/sdp/v3.0/c2.4/authentication.xml HTTP/1.1 Host: GB.lgtvsdp.com Accept: */* Content-Length:0 X-Device-ID:{-- Pominięto --} X-Device-Product:BROADBAND DTV 4 X-Device-Platform:GP4I X-Device-Eco-Info:01 X-Device-Model:HE_DTV_GP4I_AFAAABAA X-Device-Country:GB X-Device-Country-Group:EU X-Device-Language:eng X-Device-Sales-Model:42LS570T-ZB X-Device-Netcast-Platform-Version:0003.0004.0002 X-Device-Publish-Flag:Y X-Device-ContentsQA-Flag:N X-Device-FW-Version:04.41.03 User-Agent:Mozila/4.0 Response 200 OK <?xml version="1.0" encoding="UTF-8" standalone="yes"?><authentication><deviceSecret>{SNIPPED}</deviceSecret><sessionID>{SNIPPED}</sessionID></authentication>
W końcu doczekaliśmy się również na odpowiedź samego producenta, która jest następująca:
At LG, we are always aiming to improve our Smart TV experience. Recently, it has been brought to our attention that there is an issue related to viewing information allegedly being gathered without consent. Our customers’ privacy is a very important part of the Smart TV experience so we began an immediate investigation into these claims. Here’s what we found:
Information such as channel, TV platform, broadcast source, etc. that is collected by certain LG Smart TVs is not personal but viewing information. This information is collected as part of the Smart TV platform to deliver more relevant advertisements and to offer recommendations to viewers based on what other LG Smart TV owners are watching. We have verified that even when this function is turned off by the viewers, it continues to transmit viewing information although the data is not retained by the server. A firmware update is being prepared for immediate rollout that will correct this problem on all affected LG Smart TVs so when this feature is disabled, no data will be transmitted.
It has also been reported that the names of media files stored on external drives such as USB flash devices are being collected by LG Smart TVs. While the file names are not stored, the transmission of such file names was part of a new feature being readied to search for data from the internet (metadata) related to the program being watched in order to deliver a better viewing experience. This feature, however, was never fully implemented and no personal data was ever collected or retained. This feature will also be removed from affected LG Smart TVs with the firmware update.
LG regrets any concerns these reports may have caused and will continue to strive to meet the expectations of all our customers and the public. We hope this update clears up any confusion
Producent zapowiedział więc przygotowanie aktualizacji wewnętrznego oprogramowania telewizorów, która ma naprawić możliwość wyłączenia przesyłania informacji do centrali (sama funkcja nadal pozostanie domyślnie włączona) oraz zlikwidować wysyłanie informacji o nazwach plików należących do użytkowników.
Niestety firma LG wyraźnie bagatelizuje znacznie przesyłanych informacji, tłumaczy się również tym, że do produkcyjnego oprogramowania trafiły funkcje będące dopiero w trakcie rozwoju. Pytanie, czy są to jednak chlubne wyjaśnienia?
Trudno również uznać powyższe oświadczenie za przeprosiny skierowane do zaniepokojonych klientów oraz przyznanie się do własnej winy, co z pewnością nie napawa optymizmem odnośnie przyszłych działań popularnego koreańskiego producenta.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Szczerze mówiąc nie spodziewałem się niczego więcej ze strony LG. Być może mieli szlachetne intencje ale nie przemyśleli tematu i się zagalopowali. Teraz muszą wyjść z twarzą a więc nie mogą się kajać na klęczkach bo to nie buduje reputacji firmy. Wymyślili „bajkę” ze zbieraniem danych dla poprawy funkcjonalności produktu, co zapewne uspokoi przeciętnego Nowaka kupującego TV przed świętami. Osobiście, nie do końca wierzę w tłumaczenia firmy biorąc pod uwagę to, że Koreańczycy (ci z Południa – dla jasności) są jednym z najbardziej inwigilowanych społeczeństw na ziemi.
Jako smaczek można dodać, że nowe telewizory LG są produkowane w Polsce. Może nawet rodacy opracowują oprogramowanie?
Oh… zapomnieliśmy usunąć, przetestować, naprawić, zauważyć… jakie to typowe.
Każdego trzeba złapać za rączkę.
Zabawne jest to, że niemal każda firma przyłapana na czymś niepoprawnym w dziedzinie bezpieczeństwa zaklina się, iż prywatność klientów jest dla niej niezwykle ważna. Niemal każde oświadczenie od tego się zaczyna.
Zbieranie danych o używaniu telewizora pojawiło się w kodzie zapewne niechcący. Jakiś chochlik albo co…
Tak prywatność klientów jest dla nas niezmiernie ważna. Dlatego chcemy aby ich dane były u nas ;) Signed – LG Team