Telewizory kontaktują się z Netfliksem nawet jeśli nie mamy tam konta… Zobaczcie też inne ciekawe dane, które wysyłają do netu popularne urządzenia IoT

19 września 2019, 11:25 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Zobaczcie na to dość rozbudowane badanie. Przygotowano testowo ekstremalnie smart apartament:

testowe mieszkanie

Były tam telewizory, dongle do telewizorów, kamery, suszarki do ubrań, dzwonki, pralki, żarówki czy asystenci głosowi – wszystko bardzo inteligentne i wysyłające dane do Internetu (w sumie 81 urządzeń umieszczonych w labie znajdującym się w UK oraz osobnym w US). To właśnie komunikacja sprzętu IoT z zewnętrznymi urządzeniami była przedmiotem badania. Miejsca docelowo podzielono na trzy grupy:

  • System dostawcy (np. Samsung TV łączy się z serwerem Samsunga)
  • System wspomagający (np. amazonowy CDN). Dalej oznaczony jako Support.
  • Zupełnie zewnętrzna firma (np. Netflix, Facebook czy coś co trackuje naszą lokalizację czy zbiera o nas interesujące dane). Dalej oznaczona jako Third.

Poniżej pierwsze zestawienie (w podziale na urządzenie nie działa – np. wyłączony telewizor).

Zestawienie

Jak widać z pierwszych dwóch wierszy, mamy w sumie 44 miejsca do których kontaktowały się urządzenia w trybie ‚Idle’. Choć tylko 4 lokalizacje były zupełnie niezwiązane z producentem. Można też zaobserwować, niewielką różnicę (na korzyść UK) w liczbie miejsc, do których wysyłane są dane. Badacze sugerują, że może to mieć związek z nieco bardziej restrykcyjnym prawem w UK.

Dalej mamy zestawienie firm, do których następuje komunikacja:

Zaskakujący może być fakt, że telewizory wysyłały całą paczkę danych do Netfliksa, mimo że nie skonfigurowano na nich netfliksowego konta:

Nearly all TV devices in our testbeds contacts Netflix even though we never configured any TV with a Netflix account. This, at the very least, exposes information to Netflix about the model of TV at a given location.

Pozytywnie zaskakujące jest to, że duża ilość danych była szyfrowana (choć niektórzy mogą kręcić nosem – co mi z tego że szyfrują moje poufne dane przed wysłaniem do siebie; trudniej będzie mi taki fakt namierzyć!):

We found limited identifiable content, and even less PII, in unencrypted traffic. This is good news, particularly compared with prior work that identified substantial amounts of PII exposed in plaintext in other contexts (e.g., mobile apps and web sites [25, 37]). Nonetheless, we found notable cases of PII exposure. This included various forms of unique identifiers (MAC address3 , UUID, device ID), geolocation at the state/city level, and user specified/related device name (e.g., John Doe’s Roku TV). A notable case that we found in our US lab is the Samsung Fridge sending MAC addresses unencrypted to an EC2 domain, which is a support party in the best case. The implication is that it is now possible for an ISP to track this device.

Badacze całość podsumowują wskazując właśnie szyfrowanie (jako pozytywny aspekt), podkreślając jednak że sporo danych „wylatuje” na zupełnie niezwiązane z producentem serwery, które często znajdują się też w całkiem innej lokalizacji niż region, w którym używamy sprzęt.

We observe several promising practices: most of the devices use encryption or other encodings that protect users’ PII, thus resulting in an overall minimal PII exposure in plaintext. However, even if the traffic is encrypted and without relying on MITM or any kind of IoT device modification, our analysis identifies notable cases of information exposure: 57.45 % (50.27 %) of the overall destinations contacted by the US (UK) IoT devices are third or support parties, and 56 % of the US devices and the 83.8 % of the UK devices contact destinations outside their region.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. zero one

    A mówili „miej internet w telewizorze to ci ułatwi życie” he he he
    Dajmy spokój przecież to wszystko wiadomo od lat. Teraz jeszcze durnie się cieszą jak dzięki 5G i internetowi rzeczy będą pobierać z tęczowego netflixa filmy w pińc sykund.

    Zdrowie nie ważne, inwigilacja nie ważna. Ważne żeby pornosa w 4K miał w minutę. ;-(((

    Zapomniałem o kołkach z obecnego rządu. Którzy jeszcze nakręcają tę spiralę podniety. Decyzja o implementacji 5G zapadła już dawno i daleko stąd ale oni twierdzą że to wszystko dzięki nim.

    Śmiać się czy płakać? Wieszać czy powywieszać?
    Oto są pytania.

    P.S. Nie wiem jak u Was ale u mnie pogoda „pod psem”. Aura fatalna. Biometr przebił się do Hadesu. ;-D
    Chociaż Wam życzę owocnego popołudnia.

    Odpowiedz
  2. Aaron Makaron

    Nie mam telewizorni w domu :) Do internetu z komputera „wycieka” tylko przeglądarka i to też dobrze potraktowana ublockiem łącznie z google, fb itp itd. Smartfona też nie mam, nie potrzebuje. Facebook osobna przeglądarka bez javascriptu, antywirus tylko offline naprawdę sporadycznie.
    Tak mam od lat, żyję i mam się dobrze. Pozdrawiam.

    Odpowiedz

Odpowiedz