Чому сучасні смарт-телевізори все ще досить тупі, щоб їх можна було зламати?

17 червня ця, здавалося б, корисна порада, якою поділилася американська служба підтримки Samsung в Twitter, викликала масову реакцію як серед технічної преси, так і серед споживачів: Сканування на віруси на телевізорі? На жаль, загроза цілком реальна, і багато хто з нас просто вирішив її ігнорувати. Компанія Samsung видалила твіт через кілька годин після того, як він був відправлений, але факт залишається фактом: Наші смарт-телевізори не роблять достатньо, щоб захистити нас від потенційно зловмисних атак, які можуть поставити під загрозу нашу безпеку і викрасти наші особисті дані. Ось що вам потрібно знати, щоб максимально убезпечити себе.

Чи можна зламати смарт-телевізори?

Якщо коротко, то так. Справа в тому, що будь-який пристрій, підключений до інтернету, або навіть просто до домашнього роутера по Wi-Fi, піддається ризику доступу зловмисника. Ми схильні забувати, що смарт-телевізори – це насправді потужні комп’ютери з більш потужними процесорами, ніж ті, що були у смартфонах п’ять років тому.

• Tidal надає бета-тестерам функцію живого діджея
• Отримайте максимальну віддачу від Apple TV 4K (2022) за допомогою цих порад та підказок
• Roku входить в бізнес розумного будинку разом з Wyze і Walmart

“Коли справа доходить до смарт-телевізорів, – сказав Кейсі Елліс, експерт з кібербезпеки і засновник Bugcrowd, – такого роду процеси повинні бути прозорими для користувача. Не можна вважати, що моя бабуся зрозуміє, що існує загроза”.

Брукман погоджується. “Оновлення дійсно повинні відбуватися автоматично, без необхідності втручання людини”, – сказав він, зазначивши, що те ж саме повинно бути і з перевіркою на віруси, якщо телевізор оснащений таким інструментом, як у випадку зі смарт-телевізорами Samsung на базі Tizen. Деякі телевізори встановлюють оновлення автоматично за замовчуванням, але навіть Sony рекомендує періодично перевіряти, щоб переконатися, що ви використовуєте останню версію свого програмного забезпечення – на випадок, якщо вона виявить чергову помилку, яка може дозволити сторонньому отримати повний контроль над вашим телевізором.

Що найгірше, що може статися?

У 2013 році, коли ми повідомляли про низку потенційних експлойтів, від перегріву лазерних принтерів до псування всієї їжі в підключеному холодильнику, персональний комп’ютер або смартфон все ще залишалися найбільш “особистими” пристроями в наших будинках. Рік по тому на сцену вийшла Алекса від Amazon, провіщаючи нову еру, коли цифрові асистенти можуть здійснювати величезний контроль над нашими технологіями і нашими даними. Смарт-телевізори зараз є останніми пристроями, в які вбудовані Alexa і Google Assistant, а виробники телевізорів починають позиціонувати телевізор як потенційний центр управління для всього вашого будинку. Переставши бути просто відправною точкою, телевізори можуть стати основним об’єктом уваги хакерів.

Те, що ми не знаємо про серйозні вторгнення в смарт-телевізори, не означає, що цього не сталося.

Наразі дійсно дуже мало повідомлень про випадки злому телевізорів. Більшість історій, які ви знайдете, стосуються виявлених дослідниками слабких місць, які теоретично можуть бути використані для злому ваших пристроїв. Але майте на увазі, що багато з найбільших крадіжок даних в таких організаціях, як Sony, Starwood Hotels і Yahoo, були виявлені постфактум. У найбільш кричущих випадках хакери мали доступ до цих груп протягом багатьох років, перш ніж їх нарешті спіймали. Те, що ми не знаємо про серйозні вторгнення в смарт-телевізори, не означає, що їх не було.

У 2017 році Wikileaks виявив, що ЦРУ розробило програмне забезпечення під кодовою назвою “Плачучий ангел”, яке було призначене для того, щоб певні моделі смарт-телевізорів Samsung виглядали повністю сплячими, в той час як вбудована веб-камера і мікрофон залишалися включеними і використовувалися для запису всього, що відбувалося в кімнаті. Вразливості, які були використані Weeping Angel, з тих пір були виправлені, але це суворе нагадування про те, наскільки цінні наші смарт-телевізори для тих, хто хотів би завдати нам шкоди.

Що роблять виробники, щоб зупинити хакерів?

Ми поставили це питання представникам кількох великих виробників, включаючи Sony, Samsung, LG, Vizio, Roku, Apple і Amazon. Ми також запитали, як кожна компанія спілкується зі своїми користувачами у разі виникнення серйозних загроз безпеці або занепокоєння. Ми отримали дуже різноманітні відповіді, які свідчать про те, що індустрії смарт-телебачення ще належить пройти довгий шлях до стандартизації підходу до цих питань.

Sony: Компанія Sony, яка використовує програмне забезпечення Android TV від Google для всіх своїх сучасних смарт-телевізорів, значною мірою покладається на Google Play Store для забезпечення захисту від шкідливого програмного забезпечення шляхом сканування додатків як до, так і після їх встановлення на телевізори. Для користувачів, які вирішили завантажувати додатки через USB, Sony пропонує програмне забезпечення безпеки, відоме як “ESET”, яке можна завантажити безкоштовно. Цікаво, що на запитання про телевізійні продукти Sony, які не працюють на базі Android, відповідь була такою: “Що стосується телевізорів, які не працюють на базі Android, телевізор не має можливості встановлювати додатки”. Хоча це може бути правдою, встановлення шкідливого додатку – не єдиний спосіб скомпрометувати смарт-телевізор. Sony оновлює свій веб-сайт підтримки з відповідними питаннями і не повідомляє своїх клієнтів безпосередньо.

Amazon: Компанія Amazon повідомила нам, що надає автоматичні оновлення безпеки клієнтам, які використовують платформу Fire TV. Вони не вимагають від користувача жодних дій для встановлення. Компанія не надала жодних подробиць про те, як і чи інформує вона клієнтів про проблеми з безпекою.

Apple: Apple повідомила нам, що її Apple TV 4K, Apple TV HD та Apple TV 3-го покоління отримують регулярні оновлення програмного забезпечення, хоча вони не встановлюються автоматично, якщо ви не виберете автоматичне оновлення у відповідних меню налаштувань. Протоколи безпеки Apple поширюються і на App Store, і кожен додаток перевіряється компанією Apple перед тим, як він стає доступним для завантаження.

LG: відхилила наш запит

Vizio: відхилили наш запит

Samsung: Samsung прокоментувала лише те, як вона захищає конфіденційність користувачів.

На жаль, не всі виробники смарт-телевізорів настільки ж старанні, як ці бренди, коли справа доходить до оновлень програмного забезпечення. “Дійсно дешеві виробники, як правило, мають гірший послужний список, коли справа доходить до виявлення проблем, які можна використовувати в їх системах”, – сказав Елліс.

Так що ж відбувається, коли виробник вашого смарт-телевізора або телевізійної приставки не оновлює свій продукт для боротьби з потенційною загрозою? “В даний час не існує законів, які передбачають відповідальність виробника смарт-телевізорів за вторгнення в приватне життя через шкідливе програмне забезпечення”, – сказав Девід Рейшер, адвокат і генеральний директор LegalAdvice.com, а це означає, що судовий позов буде вашим єдиним засобом захисту – і це далеко не єдиний шанс. “Будь-який юрист може подати колективний позов проти виробника, який не захистив споживачів від відомої вразливості системи безпеки. Однак питання доведення збитків може бути складним”.

З часом, можливо, стане легше визначати бренди, які роблять найбільше для захисту споживачів. Цифровий стандарт – це нова ініціатива з відкритим вихідним кодом, підтримана Consumer Reports, яка спрямована на створення незалежної рейтингової системи, яка може бути застосована до споживчого програмного забезпечення, цифрових платформ і послуг, а також продуктів, підключених до Інтернету.

Що робити, щоб захистити свій смарт-телевізор від злому?

Найпростіший спосіб убезпечити себе може полягати у відмові від деяких наворотів вашого нового блискучого телевізора. “Чи повинен ваш телевізор бути підключений до Інтернету?” – запитав Елліс. “Коли ви вмикаєте одну з цих речей, вона заохочує вас до цього, і ви, ймовірно, будете робити те, що вона каже”. Елліс закликає людей добре подумати над цим вибором: “Яку користь я отримаю від цього? Чи це те, що мені дійсно потрібно? Чи не принесе це ризик у мій дім?”.

Якщо ви вирішили, що переваги підключення до Інтернету переважують ризики, то відстеження оновлень програмного забезпечення – як би це не дратувало – це ваш найкращий вибір з точки зору забезпечення максимальної безпеки вашого смарт-телевізора. Якщо ваш телевізор не отримує багато оновлень, або, що ще гірше, якщо він ніколи не отримував оновлень, про які ви знаєте, ви можете розглянути можливість аутсорсингу його “розумних” функцій на більш надійний пристрій – бажано такий, який має зрозумілий вам підхід до безпеки.

Незважаючи на негативну реакцію на незграбний твіт Samsung про перевірку на віруси, Елліс вважає, що компанія заслуговує на похвалу за підвищення обізнаності про реальність, що оточує смарт-телевізори. “Це майже гідно захоплення”, – сказав він, – “тому що вони знають, що існує загроза, яка існує в будинку людини, і вони намагаються дати користувачам можливість зробити щось для зниження цього ризику”.

А як щодо моєї приватності?

Ті, хто шукає доступ до ваших пристроїв, безумовно, є найбільшою загрозою, але вони не є єдиною сферою занепокоєння, коли мова йде про смарт-телевізори та телевізійні приставки. Ваші персональні дані, такі як шоу та фільми, які ви переглядаєте, є потенційним скарбом для виробників або будь-кого іншого, хто може їх зібрати. У 2016 році компанія Vizio стала об’єктом розслідування Федеральної торгової комісії (ФТК) через ймовірний збір цих даних, який, як повідомляється, відбувався без відома або згоди її клієнтів, а потім продавався рекламодавцям. У Каліфорнії проти компанії було подано колективний позов за аналогічну практику. Запропонована мирова угода не лише передбачала фінансовий штраф, але й змусила Vizio видалити всі зібрані дані та надати користувачам чіткий спосіб відмовитися від їх збору в майбутньому.

“Не існує стандартних налаштувань за замовчуванням, які б дозволяли споживачам давати (або не давати) згоду на обмін даними між виробниками смарт-телевізорів”.

Ця тенденція – мінімізувати або приховати те, як телевізор збирає ваші персональні дані – спонукала двох сенаторів у 2018 році закликати ФТК розслідувати цю практику. У своєму листі до FTC сенатори послалися на випадок з Vizio, але їх увагу привернула стаття в New York Times про компанію Samba, яка використовує стороннє програмне забезпечення на декількох платформах смарт-телевізорів для збору даних про глядачів. “На жаль, – пишуть сенатори, – користувачі смарт-телевізорів можуть не знати, в якій мірі їхні телевізори збирають конфіденційну інформацію про їхні глядацькі звички”.

Ці випадки підкреслюють, наскільки сильно смарт-телевізори змінили відносини між телеглядачами і компаніями, які прагнуть відстежувати їх поведінку. Ми запитали тих самих виробників про їхню діяльність зі збору даних, але їхні відповіді знову значно відрізнялися.

Samsung повідомив нам, що “перш ніж збирати будь-яку інформацію від споживачів, ми завжди запитуємо їхню згоду, і ми докладаємо всіх зусиль для того, щоб гарантувати, що дані обробляються з максимальною обережністю”. Компанія не надала прикладів того, як саме запитується така згода, але вимога до користувачів погодитися з політикою конфіденційності є поширеним методом для цього.

Sony повідомила нам, що коли користувачі вирішують використовувати сторонні додатки на своїх смарт-телевізорах, Sony не збирає ці дані (якщо такі є) для себе. Вона також підтвердила, що діяльність зі збору даних її власними додатками регулюється відповідними політиками конфіденційності для кожного додатка та для її телевізорів.

Amazon, схоже, надає своїм користувачам значний контроль над їхніми даними за допомогою нових налаштувань конфіденційності, які дозволяють користувачам відмовитися від чотирьох сфер збору даних: Персоналізована реклама, дані на основі додатків, дані про використання пристрою та моніторинг даних.

Іншими словами, незалежно від того, яким смарт-телевізором або телевізійною приставкою ви володієте, вам потрібно буде дуже уважно прочитати дрібний шрифт, щоб знати, якими персональними даними ви погоджуєтеся ділитися, і вивчити меню налаштувань, щоб побачити, які у вас є варіанти відмови від збору даних. “Серед груп, що займаються захистом прав на конфіденційність, були докладені зусилля для стандартизації стандартних налаштувань за замовчуванням для повідомлення та згоди на обмін даними”, – сказав Райшер, – “але поки що не існує стандартних налаштувань за замовчуванням для споживачів, які дають згоду (або не дають) на обмін даними між виробниками смарт-телевізорів”.

Проблема в тому, що може бути важко або навіть неможливо повністю запобігти цьому збору даних. У налаштуваннях телевізора можна знайти способи відмовитися від цих програм, але іноді це призводить до відключення певних функцій, таких як рекомендації добірки телепередач і фільмів, або навіть цілих сервісів. Функції LG Channel Plus та Live Plus, які надають доступ до безкоштовного потокового контенту, вимагають дозволу на збір даних. Якщо ви відкличете дозвіл, ці програми будуть вимкнені.

Це все ще Дикий Захід

Якщо ви дійшли висновку, що не існує жодних стандартів ні щодо безпеки смарт-телевізорів, ні щодо збору даних, ви маєте рацію. Це дуже схоже на Дикий Захід, а це означає, що вам доведеться бути своїм власним найкращим ресурсом, коли справа доходить до захисту ваших даних. Найголовніше – усвідомити, що смарт-телевізор або телевізійна приставка – це повноцінний комп’ютер, підключений до Інтернету, і тому він потенційно вразливий до тих же вразливостей безпеки, що і ваш ноутбук або настільний комп’ютер.

Повне відключення приставки від Інтернету залишається однією з небагатьох речей, які ви можете зробити, щоб запобігти доступу хакерів до неї, хоча це, очевидно, є термоядерним варіантом. Слідкуйте за оновленнями програмного забезпечення – в ідеалі, ввімкнувши автоматичне оновлення, якщо ваш пристрій має таку можливість – це найбільший крок, який ви можете зробити, якщо ви все ще хочете насолоджуватися “розумними” функціями вашого телевізора.

Завжди читайте умови та положення, з якими ви погоджуєтесь, використовуючи смарт-телевізор або будь-які додатки чи послуги, що входять до його складу. У багатьох випадках ці умови включають формулювання, які надають виробникам згоду на збір ваших даних, навіть якщо вони не просили про таку згоду чітко і конкретно.

Рекомендації редакції

• Nvidia вбиває GameStream на Shield, перенаправляючи користувачів в Steam
• Amazon Echo Show 15 сьогодні отримує повне оновлення Fire TV
• Chromecast з Google TV робить стрибок на Android 12
• Перші телевізори не Samsung Tizen OS вже тут, але не в США
• Досвід перегляду YouTube на телевізорах щойно став набагато кращим

• Кібербезпека
• Огляди eBike
• Спеціальні функції
• Майбутнє

Source: digitaltrends.com