skip to main | skip to sidebar
9 commenti

Smart TV spione, altri guai per Samsung: dati personali trasmessi senza protezione

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Ricordate le parole di Samsung a proposito delle sue Smart TV, che possono trasmettere “a terzi” le parole dette quando l'utente attiva il riconoscimento vocale sul telecomando? Ne avevo parlato la settimana scorsa.

L'azienda aveva dichiarato con tono rassicurante che questi dati sensibili venivano trasmessi usando “misure e pratiche di sicurezza conformi agli standard di settore, compresa la crittografia” e che questo avveniva in “tutte” le sue Smart TV. Ma non è vero, e lo sappiamo grazie al lavoro di ricercatori di sicurezza indipendenti come David Lodge della Pen Test Partner. Non tutti i dati trasmessi sono protetti e cifrati: molti sono intercettabili da chiunque.

Lodge ha confermato che queste Smart TV, come ha dichiarato Samsung, registrano e trasmettono a terzi (specificamente la società di riconoscimento vocale Nuance Communications) le parole degli utenti soltanto in caso di comandi complessi (per esempio “Suggerisci un buon film di fantascienza”) e che i comandi di base (cambio di canale, regolazione del volume) vengono riconosciuti direttamente dal televisore senza essere trasmessi, ma ha anche scoperto che contrariamente a quanto detto dall'azienda coreana vengono trasmesse via Internet senza cifratura la registrazione audio e la trascrizione di quello che ha detto l'utente quando ha impartito un comando vocale complesso, insieme a data e ora.

Questo significa per esempio che chiunque sia nel raggio d'azione della rete Wi-Fi usata dalla Smart TV può catturare queste registrazioni e trascrizioni insieme alle conversazioni domestiche o di lavoro che spesso accompagnano i comandi vocali e farsi un'idea piuttosto intima degli orari, delle scelte televisive e delle conversazioni private del vicino di casa. Sarebbe quindi anche possibile alterare i comandi impartiti al televisore.

Samsung si è giustificata precisando che il problema riguarda soltanto le Smart TV meno recenti, per le quali verrà fornito presto un aggiornamento software che correggerà il problema. Ma il modello testato da Lodge è soltanto del 2012 ed è ancora in vendita.


Fonti aggiuntive: Punto Informatico, The Register, The Guardian.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (9)
la risposta affligge solo i modelli più vecchi e presto ci sarà una correzione mi sa tanto di risposta di default...
Sì penso anche io sia la risposta automatica per parecchi problemi. Beh, poteva andare peggio, avrebbero potuto dire "il problema riguarda soltanto le Smart TV meno recenti, quindi compratela nuova"...
Tutto vero, tutto brutto, anzi bruttissimo...ma in fin dei conti chi diavolo usa i comandi vocali della TV ?,io ce l'ho da 3 anni e gli ho usati i primi 10 minuti dopo averla tolta dalla scatola e mai più. :)
"Questo significa per esempio che chiunque sia nel raggio d'azione della rete Wi-Fi usata dalla Smart TV può catturare queste registrazioni"
Ammesso che il WIFI non sia protetto / di conoscere la password / di avere qualche secolo a disposizione per fare brute force
In certe situazioni preferirei che i dati fossero in chiaro e poter verificare che i dati trasmessi non ledano la mia privacy e i termini del contratto, piuttosto che tutto criptato e sconosciuto che mi obbliga a fidarmi di Samsung &co
Comunque non capisco perché i messaggi "complessi" che non possono essere decifrati dal televisore possono invece essere decifrati da remoto... ci sarà mica l'omino del call-center che ti ascolta e comanda il tuo tv da remoto? :D

No, dai, sarebbe perfino più fantascientifico di un super-televisore-computer.
L'ho scritto anche nei commenti al post di settimana scorsa ma lo ripeto: a dicembre ho comprato una smartv samsung. Ebbene, il famoso microfono è posizionato su un secondo telecomando in dotazione, e si attiva solo quando si preme il relativo tasto, per cui continuo a non capire perchè il buon Paolo continui a porre l'accento su queste tv che "ascoltano e registrano quanto viene detto nelle loro vicinanze", dato che questa, almeno nel mio caso, è una bufala. In questi casi ci vorrebbe un servizio antibufala, proverò su bufalopedia (sono anche un umorista)... In alternativa, mi accontenterei anche di una risposta del locale blogomastro, dato che mi pare sia del ramo.
Jonny,

cito quanto segue dal link alle info Samsung che ho incluso nell'articolo:

Voice recognition takes place in two ways:

The first is through an embedded microphone inside the TV set that responds to simple predetermined TV commands such as changing the channel and increasing the volume. Voice data is neither stored nor transmitted in using these predetermined commands.


Il riconoscimento vocale avviene tramite un microfono del TV (non del telecomando come dicevi), ma non è un problema perché l'elaborazione avviene in locale. Nulla viene trasmesso e nulla viene conservato, dice Samsung.


The second microphone, which is inside the remote control, requires interaction with a server because it is used for searching content. A user, for example, can speak into the remote control requesting the search of particular TV programs (ex: “Recommend a good Sci-Fi movie”). This interaction works like most any other voice recognition service available on other products including smartphones and tablets.... Samsung will collect your interactive voice commands only when you make a specific search request to the Smart TV by clicking the activation button either on the remote control or on your screen and speaking into the microphone on the remote control.

Questa è la parte problematica (voce catturata e trasmessa per analisi fatta in remoto) e conferma quello che dici: sono i comandi vocali captati dal telecomando a essere ascoltati e registrati.

Dato che il telecomando sta in genere nella stessa stanza del TV, direi che è corretto dire che questi apparati ascoltano e registrano quanto detto nelle loro vicinanze, ma correggo la frase per precisare che l'ascolto è continuo (sul mic del TV) ma la registrazione no. Grazie del promemoria.
CORREZIONE al mio commento precedente: al posto di

Il riconoscimento vocale avviene tramite un microfono del TV (non del telecomando come dicevi),

volevo scrivere

Il riconoscimento vocale avviene anche tramite un microfono del TV (non solo del telecomando come dicevi),


Scusate l'errore.
"chiunque sia nel raggio d'azione della rete Wi-Fi usata dalla Smart TV può catturare queste registrazioni e trascrizioni" SE la rete wifi è aperta. Altrimenti PRIMA deve crackare la wifi.
Non è impossibile per chi è seriamente interessato ad ascoltare, ma chi è seriamente interessato a farlo ha a disposizione metodi molto più sicuri, tipo microspie o microfoni direzionali.

Insomma continuo ad essere convinto che tutte ste cose siano semplici "possibilità" ma che alla fine nessun "hacker" le usi seriamente.
@Il Lupo della Luna: hai ragione, spesso queste notizie "sensazionali" non sono altro che notizie acchiappaclick per il 90% della popolazione non nerd.
Un pubblico più preparato in materia, forse, capirebbe che si tratta di tante belle eventualità ma quasi del tutto inutilizzabili da hacker "fai-da-te".
Come dici tu chi vuole ottenere le stesse informazioni ha altri mezzi per farlo, più certi e garantiti dalle leggi.
Rimane la questione "Samsung" che ha a disposizioni questi dati... ma essendo scritto nel contratto il problema (legale) non si pone... il problema morale forse rimane, ma, se posso dirlo, chissenefrega se qualche dipendente Samsung coreano ascolterà qualche spezzone di una mia serata sul divano..