El nuevo truco de Vizio revela que la empresa comparte sus datos si acepta su política de privacidad o no

Una nueva investigación de Avast revela cuán fácilmente comprometidos son en realidad muchos de los llamados televisores “inteligentes”, así como cuán poco importa realmente su consentimiento para ser rastreados. Este truco no está relacionado con la investigación. discutimos ayer , en relación con la decisión de Vizio de vender datos identificables del usuario a terceros y anunciantes, aunque muchos de estos problemas están relacionados entre sí.

Escribiendo para Avast, Aaron McSorley detalla cómo la compañía investigó la seguridad de un televisor inteligente Vizio. El objetivo del ejercicio era ilustrar cómo una persona normal podría verse afectada al piratear un dispositivo inteligente a través de un ataque de intermediario.



Al final, descubrimos que el televisor inteligente que estábamos inspeccionando en realidad transmitía huellas dactilares de las actividades de los usuarios, ya sea que estuvieran de acuerdo con la política de privacidad del dispositivo y los términos de servicio al configurarlo por primera vez. Además, descubrimos una vulnerabilidad dentro del dispositivo que podría servir como un vector de ataque potencial para un atacante que intenta acceder a la red doméstica de un usuario. Dado que todo esto suena bastante espeluznante, Es importante señalar que Vizio resolvió con éxito estos problemas al ser notificado de nuestros hallazgos. (énfasis original)



Lo que Avast encontró, en general, fue que Vizio se conectó repetidamente a control.tvinteractive.tv, un dominio propiedad de Cognitive Networks, a través de HTTPS. Los investigadores descubrieron rápidamente que la televisión usaba HTTPS, pero en realidad no verificaron si el certificado era válido. Cada una de sus solicitudes contenía un valor de suma de verificación al final; si esa suma de verificación resulta inválida, el televisor se niega a utilizar los datos que recibe. Si bien eso es mejor que los problemas de Samsung a principios de este año, en los que la información supuestamente encriptada se transmitió de forma clara, el hecho de que Vizio no verificara la certificación HTTPS adecuada sigue siendo una falla grave.

Después de descubrir una falla en el menú de red que permitía la inyección de comandos locales, Avast pudo persuadir al televisor para que comunicara todo su sistema de archivos y copiara sus datos en una memoria USB. En este punto, el equipo dice: 'La televisión está lista'.



Una vez que se volcó el sistema de archivos en el disco, fue fácil localizar la clave necesaria para romper el cifrado de suma de comprobación inicial y tomar el control del televisor.

Vizio te está mirando

Al decirle al televisor que transmita a través de HTTP, en lugar de HTTPS, el equipo de seguridad pudo ver la salida del televisor y ver que estaba transmitiendo una masa binaria de datos cada 1-2 segundos. Estos datos demostraron ser información de píxeles de lo que se estaba reproduciendo en la pantalla en ese momento. Esa información se muestra a continuación:

Imagen-IoT



Cada línea de píxeles en la imagen representa valores tomados de puntos predefinidos en la televisión, y cada fila de píxeles representa un segundo. A simple vista, esto no es más que una mancha no identificable. Para una computadora, es algo muy diferente. Para comprender cómo funciona este tipo de análisis de datos, imagínese encender su propio televisor y ver una película o programa de televisión favorito a la mitad. Dependiendo de qué tan bien conozcas el programa, es posible que tardes unos segundos en recordar todo sobre el episodio, aunque solo hayas visto una fracción del contenido.

Los seres humanos realizamos este tipo de análisis utilizando el fotograma completo de video, el flujo de audio que lo acompaña y al menos unos segundos de contenido. Una computadora puede manejar un análisis análogo usando datos de píxeles medidos en puntos predeterminados. La investigación de Avast no comparte si el televisor siempre transmite datos de píxeles cuando está activo, o si se apaga una vez que se realiza una identificación de transmisión positiva, pero de cualquier manera, el sistema analiza todo lo que ve y lo transmite a Cognitive Networks.

Los investigadores continúan señalando que este ataque podría usarse para inyectar publicidad maliciosa o monitoreo de contenido en una pantalla, aunque no tuvieron mucha suerte con sus esfuerzos iniciales para mostrar anuncios falsos en la pantalla. Nos comunicamos con Aaron para saber si la última actualización de software de Vizio resuelve esto y nos dijeron lo siguiente: 'Con la última actualización de firmware de Vizio, si rechaza el acuerdo de privacidad durante la configuración inicial, el televisor no enviará datos a los servidores de Cognitive Networks . La actualización también parchea los exploits conocidos '.

Si bien nos alegra saber que este es el caso, presumiblemente Vizio ha estado enviando televisores afectados durante meses, si no años. Eso significa que los datos del consumidor se han compartido sin consentimiento durante todo este período de tiempo. Y los problemas que planteó ProPublica aún persisten: Vizio sigue vendiendo su información personal a menos que usted opte específicamente por no participar en ese programa.

Históricamente, este tipo de esfuerzos se han justificado alegando que el consumidor los accedió al hacer clic en 'Sí' en cualquier licencia de envoltura retráctil que el proveedor haya considerado conveniente para envolver el producto. Sin embargo, como muestra esta infracción, este tipo de filtraciones pueden ocurrir independientemente de si realmente aceptó algo o no.

Copyright © Todos Los Derechos Reservados | 2007es.com