Uus Vizio häkkimine näitab, et ettevõte jagab teie andmeid olenemata sellest, kas nõustute selle privaatsuseeskirjadega või mitte

Uued uuringud Avastilt näitavad, kui hõlpsasti paljud nn nn nutikad telerid on ohustatud, samuti see, kui vähe teie nõusolek jälgimiseks tegelikult oluline on. See häkkimine pole uurimisega seotud arutasime eile , mis puudutab Vizio otsust müüa tuvastatavaid kasutajaandmeid kolmandatele osapooltele ja reklaamijatele, kuigi paljud neist probleemidest on omavahel seotud.



Avasti kirjutamine, Aaron McSorley kirjeldab üksikasjalikult, kuidas ettevõte uuris Vizio nutiteleri turvalisust. Harjutuse kogu mõte oli illustreerida, kuidas normaalset inimest saab mõjutada nutiseadme häkkimine keskeltläbi inimese rünnaku kaudu.

Lõpuks leidsime, et meie kontrollitav nutiteler edastas tegelikult kasutajate tegevusest sõrmejälgi, olenemata sellest, kas nad olid seadme esmakordsel seadistamisel nõus seadme privaatsuseeskirjade ja teenusetingimustega. Lisaks avastasime seadmes haavatavuse, mis võib olla kasutaja koduvõrku pääseda üritava ründaja potentsiaalne ründevektor. Kuna see kõik kõlab üsna jube, on oluline märkida, et Vizio lahendas need probleemid edukalt, kui meile leiu kohta teatati. (esiletõstetud originaal)



Avast leidis üldiselt, et Vizio ühendas HTTPS-i kaudu korduvalt kognitiivsete võrkude omandis oleva domeeniga control.tvinteractive.tv. Teadlased avastasid kiiresti, et teler kasutas HTTPS-i, kuid ei kontrollinud tegelikult, kas sertifikaat kehtib. Kõik selle taotlused sisaldasid lõpus kontrollsumma väärtust - kui see kontrollsumma naaseb kehtetuks, keeldub teler saadud andmeid kasutamast. Kuigi see on parem kui Samsungi probleemid selle aasta alguses, kus väidetavalt krüpteeritud teave edastati selgelt, on Vizio suutmatus kontrollida HTTPS-i nõuetekohast sertifikaati endiselt tõsine viga.

Pärast võrgumenüüs vea avastamist, mis võimaldas kohalikku käskude sisestamist, suutis Avast veenda telerit kogu oma failisüsteemi edastama ja andmeid USB-mälupulgale kopeerima. Siinkohal teatab meeskond: „Teler on valmis.”



Kui failisüsteem oli kettale visatud, oli esmase kontrollsumma krüptimise purustamiseks vajaliku võtme leidmine ja televiisori juhtimine hõlbus.

Vizio jälgib sind

Käskides teleril edastada HTTPS-i asemel HTTP kaudu, sai turvameeskond teleri väljundit vaadata ja näha, et see edastab binaarset andmepaki iga 1-2 sekundi tagant. Need andmed osutusid piksliteabeks kõigest, mis sel ajal ekraanil mängis. Need andmed on näidatud allpool:

Pilt-IoT



Iga pildi pikslirida tähistab teleri eelnevalt määratletud punktidest võetud väärtusi ja iga pikselirida tähistab ühte sekundit. Palja silmaga pole see midagi muud kui tuvastamatu määrimine. Arvuti jaoks on see midagi hoopis muud. Sellise andmeanalüüsi toimimise mõistmiseks kujutage ette oma teleri sirvimist ja lemmikfilmi või telesaate püüdmist. Sõltuvalt sellest, kui hästi sa saadust tunned, võib kogu episoodi meenutamiseks kuluda vaid mõni sekund - kuigi sa oled näinud vaid murdosa sisust.

Meie, inimesed, teeme sellist analüüsi, kasutades video täiskaadrit, sellega kaasnevat helivoogu ja vähemalt mõnesekundilist sisu. Arvuti saab analoogse analüüsiga hakkama, kasutades eelnevalt kindlaksmääratud punktides mõõdetud piksliandmeid. Avasti uuring ei jaga, kas televiisor edastab alati piksliandmeid, kui see on aktiivne, või lülitub see välja, kui positiivne voo tuvastamine on tehtud, kuid mõlemal juhul analüüsib süsteem kõike, mida te vaatate, ja edastab selle tagasi kognitiivsetesse võrkudesse.

Teadlased märgivad, et seda rünnakut saab kasutada pahatahtliku reklaami või sisu jälgimise sisestamiseks ekraanile, ehkki neil ei olnud palju õnne nende esialgsete jõupingutuste abil võltsitud reklaame ekraanil näidata. Pöördusime Aaroni poole, kas Vizio uusim tarkvaravärskendus lahendab selle, ja meile öeldi järgmiselt: „Vizio uusima püsivara värskenduse korral ei esita teler andmeid kognitiivsete võrkude serveritele, kui keeldute esmase seadistamise ajal privaatsuslepingust. . Uuendus parandab ka teadaolevaid ekspluateerimisi. '



Kuigi meil on hea meel kuulda, et see nii on, on Vizio tõenäoliselt mõjutatud telereid saatnud mitu kuud, kui mitte aastaid. See tähendab, et tarbijaandmeid on kogu selle aja jooksul ilma nõusolekuta jagatud. Ja ProPublica tõstatatud probleemid on endiselt alles - Vizio müüb endiselt teie isiklikke andmeid, kui te just sellest programmist ei loobu.

Ajalooliselt on sedalaadi jõupingutused olnud õigustatud väitega, et tarbija nõustus nendega, klõpsates igale shrinkwrap-litsentsile, mida pakkuja on toote ümber keerutanud, klõpsates „Jah”. Nagu see rikkumine näitab, võivad seda tüüpi lekked ilmneda olenemata sellest, kas olete millegagi tegelikult nõus olnud või mitte.

Copyright © Kõik Õigused Kaitstud | 2007es.com