Największy szpieg w domu? Smart TV wysyła do chmury zrzut ekranu nawet co kilka milisekund

Kiedy poruszany jest temat ochrony prywatności najczęściej rozmawia się o telefonach i PC. Całkiem słusznie - to tak zwana elektronika osobista, z którą użytkownik spędza najwięcej czasu i której powierza intymne, prywatne dane. Nic więc dziwnego, że uwaga specjalistów skupia się właśnie na tych urządzeniach, podobnie jak edukacja ich użytkowników. Nasze dane są bardzo cenne, nie tylko te ściśle prywatne - nie ma ani jednego powodu, by pozwalać wielkim korporacjom na zarabianie na nich.

Tyle że laptop i telefon to zdecydowanie nie jedyne podłączone do chmury inteligentne urządzenia konsumenckie. W znacznej liczbie gospodarstw domowych znajduje się też telewizor, najczęściej typu smart TV. Telewizory te - podobnie jak telefony czy aplikacje na komputerze - starają się zebrać o swoim użytkowniku jak najwięcej danych. Po to, by producent miał dodatkowe dane przy okazji projektowania przyszłej wersji odbiornika. A przede wszystkim po to, by skuteczniej serwować reklamy. Jak często telewizor szpieguje swojego użytkownika? Cóż…, robi to kilka razy na sekundę.

To też jest istotne:

Nowoczesne telewizory wykorzystują mechanizm o nazwie ACR (Automatic Content Recognition). Zasada jego działania nie jest tajemnicą, bo jest opisana w umowie licencyjnej użytkownika telewizora (ten Bardzo Długi Tekst do zaakceptowania przy pierwszym uruchomieniu telewizora, którego niemal nikt nie czyta). Telewizor w ramach ACR może zrobić zrzut ekranu aktywności użytkownika, a następnie ów zrzut wysłać do chmury producenta. Jak często telewizor aktywuje ACR?

Grupa specjalistów ds. bezpieczeństwa postanowiła to zbadać. Skupiła się na dwóch największych producentach: na Samsungu i na LG. Niestety z uwagi na zamknięty charakter wbudowanego w te telewizory oprogramowania pełna analiza działań telewizorów nie była możliwa. Tym niemniej wyniki nawet tej niekompletnej są co najmniej niepokojące.

Jak się bowiem okazuje, telewizory LG typowo wykonują… 100 zrzutów ekranowych na sekundę. Z kolei telewizory Samsunga wykonują tylko dwa zrzuty ekranowe na sekundę, ale za to wysyła dwukrotnie więcej danych do serwerów ACR od telewizorów LG.

Co szczególnie ważne i niepokojące, telewizory te nie zaprzestają szpiegowania nawet przy korzystaniu z zewnętrznych źródeł podłączonych przez HDMI. Dopóki ACR śledzi to, jak użytkownik klika po serialach w aplikacjach VOD, szkody dla tegoż użytkownika wydają się relatywnie małe. Wysyłane masowo na serwery w Korei zrzuty ekranowe z otwartego poufnego dokumentu na podłączonym przez HDMI do telewizora laptopie wydają się poważnym naruszeniem.

Google (YouTube) i Netflix wyraźnie wykupiły sobie u Samsunga i LG prawo do prywatności. Gdy uruchomiona jest którakolwiek z tych dwóch aplikacji, telewizory momentalnie wstrzymują działanie usługi ACR.

Uczeni przyznają, że szpiegowanie w badanych telewizorach można wyłączyć, jeżeli użytkownik wie jak. Odbiorniki po wyłączeniu modułów śledzących nie robią niczego po kryjomu, szanując wybory dokonane przez użytkownika. Zauważają jednak, że wspomniane wyłączenie modułów szpiegowskich nie jest łatwe czy intuicyjne. Te przestają bowiem działać po wyłączeniu wszystkich możliwych funkcji personalizacji treści czy dynamicznego generowania interfejsu. Rekordzista z badanych telewizorów wymagał wyłączenia aż 11 inteligentnych funkcji smart TV, by ACR przestało działać.

Należy przy tym podkreślić, że wydaje się wysoce wątpliwe, by inni producenci zachowywali się pod tym względem lepiej. Samsung i LG zostali wybrani z uwagi na bycie rynkowymi liderami, ale też warto mieć na uwadze, że Google - w pewnym uproszczeniu - wręcz żyje z śledzenia internautów. I nie udostępnia producentom telewizorów swojego Google TV w ramach gestu dobroczynności. Jaki właściwie powinien płynąć z tego wniosek?

Na dziś nie powinno się używać smart TV jako monitorów do pracy. Przynajmniej, jeśli chodzi o pracę nad poufnymi dokumentami. Można nawet niemądrze założyć, że przecież producent telewizora może mieć w nosie treści dokumentów użytkownika telewizora, ACR służy do czegoś innego. Nawet jeśli - może i tak, ale dla hakera podsłuchującego ten strumień danych te zrzuty mogą okazać się bardzo, bardzo cenne.