Samsung nie podsłuchuje, ale też nie szyfruje danych

Samsung UE46ES8000 Smart TV

Zgodnie z tym co pisałem w poniedziałek Samsung nie podsłuchuje non stop użytkowników swoich telewizorów. Pojawił się jednak inny problem – producent nie szyfruje odpowiednio wysyłanych danych.

„Dramatu” kwestii rzekomego podsłuchu telewizorów Samsunga nie będę powtarzał. Jeśli Was ten temat interesuje, to zapraszam do dwóch poprzednich wpisów i dyskusji w komentarzach pod nimi.

W skrócie – było podejrzenie, że telewizory Samsunga nasłuchują tego co cały czas mówimy, ale nic na to nie wskazuje.

Teraz pojawił się jednak inny problem. David Lodge z firmy Pan Test Partners postanowił sprawdzić ile jest prawdy w zapewnieniach koreańskiego producenta. Autor wykorzystywał przez pół godziny funkcje głosowe telewizora Samsung UE46ES8000 z 2012 roku. Jednocześnie badał ruch internetowy wykorzystując switch z możliwością klonowania danych do innego portu. Dzięki temu udało się przechwycić ruch z telewizora bez wpływania na niego.

Samsung Smart TV Pen Test Partners 1
Czerwony kolor to TV -> serwer; Niebieski kolor to serwer -> TV Fot. za zgodą autorów

Co się okazało?

Dobra wiadomość jest taka, że potwierdziło się to, o czym pisałem na blogu. Telewizory Samsunga nie nasłuchują cały czas tego co mówimy. Robią to tylko wtedy, gdy je o to poprosimy (aktywacja rozpoznawania mowy komendą Hi TV lub przyciskiem na pilocie). Dopiero wtedy telewizor zaczyna wysyłać dane do chmury w celu rozpoznania mowy i zamiany jej na pismo.

O tym już wiedzieliśmy, ale dobrze, że pojawiło się takie potwierdzenie.

 

Zła wiadomość jest jednak taka, że gdy telewizor wysyła już dane do sieci, to nie używa zaawansowanego szyfrowania danych SSL.

To co widzimy, nie jest szyfrowaniem SSL. To nawet nie są dane HTTP. Jest to połączenie XML i niestandardowego pakietu danych

– David Lodge tłumaczy wyniki swojej analizy we wpisie na Pen Test Partners.

Autor ustalił, że telewizor wysyła do sieci między innymi informacje o adresie MAC odbiornika i wersji jego programowania.

Samsung Smart TV Pen Test Partners 2
Fot. za zgodą autorów

Sprawą zajęło się BBC tłumacząc, że nieszyfrowane dane wracały również do telewizora, co w teorii może pozwolić na odczytanie tego co mówimy do odbiornika (jeśli ktoś przejąłby sygnał naszej sieci).

Przechwycenie tych komunikatów mogą wykonać za pomocą sieci Wi-Fi sąsiedzi czy hakerzy działający poza domem (…) Może zrobić to też dostawca internetu lub ktokolwiek mający dostęp do sieci szkieletowej. Myślę o rządzie i organach ścigania. Komunikacja powinna być szyfrowana wykorzystując SSL

– tłumaczy David Lodge.

Dziennikarze BBC otrzymali oficjalny komentarz od producenta.

Nasze najnowsze Smart TV są wyposażone w szyfrowanie danych, a aktualizacja dla starszych modeli pojawi się niedługo

– Samsung poinformował BBC.

 

Skontaktowałem się z Davidem Lodgem i Kenem Munro z Pen Test Partners. Panowie pozwolili mi wykorzystać screeny ze swoich testów w moim wpisie i poinformowali mnie, że aktualnie szykują drugi test, w którym sprawdzą zapewnienia Samsunga o szyfrowaniu danych w nowych modelach Smart TV. Autorzy podesłali mi też dodatkową fotkę, na której widać strumień audio ściągnięty z funkcji głosowych telewizora.

Fot. Pen Test Partners (za zgodą autorów)

 

Tak więc do tematu zapewne jeszcze wrócę.

 

 

AKTUALIZACJA 20.02.2015

Zaraz po publikacji otrzymałem oficjalny kometarz polskiego oddziału Samsunga.

Najnowsze telewizory Smart TV marki Samsung są wyposażone w mechanizmy szyfrowania danych. Wkrótce udostępnione zostaną także do pobrania aktualizacje oprogramowania dla pozostałych modeli

– Olaf Krynicki, Rzecznik Prasowy Samsung Electronics Polska.

Opublikowany przez Szymon Adamus

Szymon Adamus, fan wszystkiego co HD, SD i OK. Widzi martwe piksele i ma cztery pary rąk. W każdej z nich trrzyma pilota.