Peretasan Vizio baru mengungkapkan perusahaan membagikan data Anda apakah Anda menerima kebijakan privasinya atau tidak

Penelitian baru dari Avast mengungkapkan betapa mudahnya dikompromikan oleh banyak yang disebut TV 'pintar', serta seberapa kecil izin Anda untuk dilacak sebenarnya penting. Peretasan ini tidak terkait dengan penyelidikan kita diskusikan kemarin, terkait keputusan Vizio untuk menjual data pengguna yang dapat diidentifikasi kepada pihak ketiga dan pengiklan, meskipun banyak dari masalah ini saling terkait.

Menulis untuk Avast, Aaron McSorley merinci bagaimana perusahaan menyelidiki keamanan smart TV Vizio. Inti dari latihan ini adalah untuk menggambarkan bagaimana orang normal dapat terpengaruh dengan meretas perangkat pintar melalui serangan man-in-the-middle.

Pada akhirnya, kami menemukan bahwa smart TV yang kami periksa benar-benar menyiarkan sidik jari dari aktivitas pengguna, baik mereka menyetujui kebijakan privasi perangkat dan persyaratan layanan saat pertama kali menyiapkannya. Selain itu, kami menemukan kerentanan di dalam perangkat yang dapat berfungsi sebagai vektor serangan potensial bagi penyerang yang mencoba mengakses jaringan rumah pengguna. Karena ini semua terdengar sangat menyeramkan, penting untuk diperhatikan bahwa Vizio berhasil menyelesaikan masalah ini setelah diberi tahu tentang temuan kami. (penekanan asli)



Apa yang Avast temukan, secara keseluruhan, adalah Vizio berulang kali terhubung ke control.tvinteractive.tv, domain yang dimiliki oleh Cognitive Networks, melalui HTTPS. Para peneliti dengan cepat menemukan bahwa televisi tersebut menggunakan HTTPS, tetapi tidak benar-benar memeriksa apakah sertifikat tersebut valid. Setiap permintaannya berisi nilai checksum di bagian akhir - jika checksum tersebut ternyata tidak valid, TV menolak untuk menggunakan data yang diterimanya. Meskipun itu lebih baik daripada masalah Samsung awal tahun ini, di mana informasi yang seharusnya dienkripsi dikirim dengan jelas, kegagalan Vizio untuk memeriksa sertifikasi HTTPS yang tepat masih merupakan cacat yang serius.

Setelah menemukan cacat dalam menu jaringan yang memungkinkan injeksi perintah lokal, Avast dapat membujuk TV untuk mengkomunikasikan seluruh sistem file dan menyalin datanya ke stik USB. Pada titik ini, tim menyatakan, 'TV-nya sendiri'.

Setelah sistem file mereka dibuang ke disk, mudah untuk menemukan kunci yang diperlukan untuk memecahkan enkripsi checksum awal dan mengendalikan televisi.

Vizio mengawasimu

Dengan memberi tahu TV untuk mengirim melalui HTTP, bukan HTTPS, tim keamanan dapat menonton keluaran TV dan melihat bahwa itu mentransmisikan gumpalan data biner setiap 1-2 detik. Data ini terbukti sebagai informasi piksel dari apa pun yang diputar di layar pada saat itu. Data tersebut ditunjukkan di bawah ini:

Gambar-IoT

Setiap baris piksel pada gambar mewakili nilai yang diambil dari titik yang ditentukan sebelumnya di televisi, dan setiap baris piksel mewakili satu detik. Bagi mata telanjang, ini hanyalah noda yang tidak dapat diidentifikasi. Bagi komputer, itu adalah sesuatu yang jauh berbeda. Untuk memahami cara kerja analisis data semacam ini, bayangkan menonton TV Anda sendiri dan menonton film atau acara TV favorit di tengah jalan. Bergantung pada seberapa baik Anda mengetahui acara tersebut, Anda hanya perlu beberapa detik untuk mengingat semua tentang episode tersebut - meskipun Anda hanya melihat sebagian kecil dari kontennya.

Kita manusia melakukan analisis semacam ini menggunakan bingkai video penuh, aliran audio yang menyertainya, dan konten setidaknya selama beberapa detik. Komputer dapat menangani analisis analog menggunakan data piksel yang diukur pada titik yang telah ditentukan. Penelitian Avast tidak membagikan apakah televisi selalu mentransmisikan data piksel saat aktif, atau jika dimatikan setelah identifikasi aliran positif dibuat, tetapi sistem menganalisis semua yang Anda tonton dan mengirimkannya kembali ke Jaringan Kognitif.

Para peneliti selanjutnya mencatat bahwa serangan ini dapat digunakan untuk memasukkan iklan berbahaya atau pemantauan konten ke dalam tampilan, meskipun mereka tidak terlalu beruntung dengan upaya awal mereka untuk menampilkan iklan palsu di layar. Kami menghubungi Aaron untuk mengetahui apakah pembaruan perangkat lunak terbaru Vizio menyelesaikan masalah ini, dan diberi tahu hal berikut: “Dengan pembaruan firmware terbaru dari Vizio, jika Anda menolak perjanjian privasi selama penyiapan awal, TV tidak akan mengirim data ke server Jaringan Kognitif . Pembaruan juga menambal eksploitasi yang diketahui. ”

Meskipun kami senang mendengar bahwa ini masalahnya, Vizio mungkin telah mengirimkan televisi yang terpengaruh pengiriman selama berbulan-bulan, jika tidak bertahun-tahun. Itu berarti data konsumen telah dibagikan tanpa persetujuan selama rentang waktu ini. Dan masalah yang diangkat ProPublica masih tetap ada - Vizio masih menjual informasi pribadi Anda kecuali Anda secara khusus menyisih dari program itu.

Secara historis, upaya semacam ini telah dibenarkan dengan mengklaim bahwa konsumen setuju dengan mereka dengan mengklik 'Ya' pada lisensi shrinkwrap apa pun yang dianggap cocok oleh penyedia untuk membungkus produk. Namun, seperti yang ditunjukkan oleh pelanggaran ini, jenis kebocoran ini dapat terjadi baik Anda benar-benar setuju atau tidak.

Copyright © Seluruh Hak Cipta | 2007es.com