Стоит ли доверять своему умному телевизору или устройству для воспроизведения потокового видео?

Стоит ли доверять своему умному телевизору или устройству для воспроизведения потокового видео?

«Умные» устройства могут быть действительно удобными и предлагать услуги более высокого качества, но пользователи должны понимать, что за все в жизни нужно платить! Причем в данном случае речь пойдет не о денежной стоимости вашего реального устройства, а о том, что производители этих устройств давно зарабатывают не на стоимости самого устройства, а на собранной информации об устройстве, пользователе, поведении пользователя, продавая ее затем различным сторонним организациям.

И хотя эта информация сегодня может быть бесполезной для вас, но она весьма дорого стоит для компаний, ведь она используется для улучшения и настройки предлагаемых ими услуг, составления профиля местоположения и интересов пользователей, для предоставления объявлений, соответствующих этим интересам, для обмена (или продажи) этой информации третьим лицам и т.д.

Увы, но до тех пор, пока не будут приняты законодательные и нормативные акты о конфиденциальности, большинство из нас оставлены на усмотрение своих собственных устройств. Стоит помнить, что мы сегодня полностью зависим от своих собственных устройств, ведь фактически сегодня исследователи в области безопасности практически ежедневно обнаруживают различные потенциальные ловушки при использовании определенных устройств IoT.

Недавние исследования и открытия

Две группы исследователей — одна из Северо-восточного университета и Имперского колледжа Лондона, а другая — из Принстонского университета и Чикагского университета — недавно опубликовали две отдельные статьи, в которых упоминается ряд проблем, связанных с устройствами IoT.

В первом анализировалось информационное воздействие 81 устройства IoT с возможностью подключения по IP, включая камеры видеонаблюдения и видеодомофоны, интеллектуальные концентраторы, интеллектуальные источники света, розетки, термостаты, интеллектуальные телевизоры, интеллектуальные динамики с голосовым помощником и различные другие устройства.

46 из них были приобретены в магазинах США и развернуты в лаборатории США, а остальные — в магазинах Великобритании и развернуты на их испытательном стенде в Великобритании. Они также сравнили результаты своих экспериментов с данными, собранными в ходе пользовательского исследования, в которое вошли 36 участников, которые использовали или запускали некоторые из этих устройств в течение шести месяцев.

Среди прочего, они обнаружили, что:

  • Десять компаний, с которыми связалось наибольшее количество устройств, — это Amazon, Google, Akamai, Microsoft, Netflix, Kingsoft, 21Vianet, Alibaba, Beijing Huaxiay и AT & T.
  • Несколько третьих сторон (в частности, Amazon, Google и Akamai) получают информацию от многих протестированных устройств IoT, что позволяет им потенциально профилировать потребителей
  • Устройства в США, как правило, связываются с большим количеством сторонних организаций, вероятно потому, что в США действуют менее строгие правила конфиденциальности, чем в ЕС.
  • Телевизоры (например, Samsung TV, LG TV, Roku, Fire TV) связываются с наибольшим количеством сторонних среди всех категорий устройств
  • Почти все телевизионные устройства на тестовых стендах связываются с Netflix, даже если они никогда не настраивали телевизор с учетной записью Netflix
  • Большая часть трафика зашифрована, и существуют региональные различия в использовании шифрования
  • Конфиденциальная или персональная информация, предоставляемая в виде открытого текста, очень ограничена, но взаимодействие пользователя с устройствами может быть надежно определено, поскольку шифрование не скрывает взаимодействия, которые заставляют устройство генерировать сетевой трафик
  • Есть случаи неожиданного поведения, например, устройства неожиданно отправляют аудио или видео. Например, умные дверные звонки начинают записывать видео или делать снимки, когда кто-то движется перед ними. Отключить эту функцию невозможно, а получить доступ к снимкам и видео стоит дорого или почти невозможно.

Исследователи из Принстонского и Чикагского университетов выяснили подробности о системе отслеживания, связанной с потоковыми телевизионными устройствами OTT, такими как Roku и Amazon Fire TV.

«Хотя отслеживание пользователей в Интернете и на мобильных устройствах хорошо изучено, отслеживание на интеллектуальных телевизорах и устройствах OTT остается неисследованным. Чтобы устранить этот пробел, мы провели первое исследование по отслеживанию на платформах OTT », — поделился Хуман Мохаджери Могаддам.

Они обнаружили, что:

  • Крупные онлайн-трекеры (Google, Facebook) широко представлены в экосистеме OTT, наряду с другими нишевыми
  • Некоторые идентификаторы пользователей и устройств могут быть сброшены пользователями, а другие нет, передаются сторонним трекерам
  • Некоторые каналы делятся заголовками видео со сторонними трекерами
  • Большинство каналов используют как минимум одно незашифрованное соединение
  • Параметры конфиденциальности, которые якобы ограничивают отслеживание, на самом деле не помогают
  • Уязвимость в API удаленного управления Roku могла позволить злоумышленнику извлечь информацию с устройства и геолокации пользователей.

«Наше исследование показывает, что пользователи сталкиваются с другими наборами методов отслеживания конфиденциальности при использовании своих потоковых платформ OTT», — заключил Могаддам.

Комбинация технических и политических решений может быть рассмотрена при решении этих вопросов конфиденциальности и безопасности. Платформы OTT должны предлагать более качественные средства управления конфиденциальностью, аналогичные режимам Incognito / Private Browsing Mode современных веб-браузеров. Небезопасные соединения должны быть отменены политиками платформы. Регуляторные органы и лица, формирующие политику, должны обеспечить, чтобы средства защиты конфиденциальности, доступные для услуг проката видео и видео, были обновлены, чтобы охватить появляющиеся платформы OTT ».

Для тех, кому интересно просматривать и анализировать данные, которые их собственные устройства IoT отправляют через Интернет, исследователи Princeton недавно выпустили IoT Inspector , мультиплатформенный инструмент с открытым исходным кодом, который «требует минимальных технических навыков и не требует специального оборудования».

По мотивам

Alt text

Владимир Безмалый

О безопасности и не только