美《消费者报告》杂志:三星和基于Roku TV平台的智能电视易受黑客攻击

2018-02-12 14:09:12 来源:Consumer Reports

\

隶属非营利组织“美国消费者联盟”的《消费者报告/Consumer Reports》杂志,近日在对智能电视涉及用户隐私和安全的评估时,发现有数百万台智能电视存在黑客可以利用的安全漏洞,这其中包括三星的智能电视,以及TCL等使用Roku TV平台的智能电视和Roku Ultra等流媒体播放设备。

《消费者报告》表示,这些漏洞可以让黑客采取冒犯用户的行为,比如调高/调低音量、快速循环切换频道、打开令人不安的YouTube内容,或将电视机从Wi-Fi网络中移除。不过,黑客无法利用这些漏洞来窃取用户隐私信息。


安全漏洞是《消费者报告》就智能(互联网)电视涉及用户隐私和安全的评估时发现的。他们同时表示,所有受测智能电视都在收集非常详尽的用户信息,其中涉及个人隐私。虽然用户可以限制它们对数据的收集,但同时必须放弃许多功能,而且还得透过正确的按键选择以及通过设置页面寻找该如何来取消授权等予以实现。

市场研究公司IHS Markit的数据显示,2017年北美地区新发售的电视机中有69%具备互联网功能,这个比例在2018年里还将继续攀升。互联网连接为智能(互联网)电视带来许多吸引人的功能,包括通过Hulu和Netflix进行流媒体播放以及使用语音命令快速查找,但它们同时又伴随着大量的数据收集。智能电视使用的ACR(自动内容识别技术/Automatic Content Recognition)会识别你观看的每个节目,当与其他用户信息结合,就能用于定向投放广告。广告不仅会出现在用户家中的电视机上,也包括他们的手机和电脑上。如果用户正在收看某个体育赛事,那么就可能收到某品牌的在线广告,后者希望吸引这项运动的粉丝来关注或购买他们的产品。

去年Vizio在收集用户信息时就这样做过!该公司后来与联邦贸易委员会和新泽西州的监管机构分别以150万和70万美元达成和解。联邦贸易委员会明确表示,在收集收视数据前,电视机制造商必须得到用户许可,但用户其实未必了解其中的细节。《消费者报告》负责电子测试的Maria Rerecich表示,智能电视可以将大量用户信息传输回电视机制造商和他们的合作伙伴那里。至于制造商,他们恰恰致力于将智能电视作为用户家庭中的联网核心,LG和三星最近就展示了带有内置数字助理的套装,他们宣称可以控制家庭中从恒温器到安防摄像头、从洗衣机到智能音箱的各项智能家居设备。

《消费者报告》最近在一项针对38000名读者兼智能电视用户的调查中发现,51%受访者对智能电视隐私问题产生过担忧,62%的受访者对现有的安全措施表示担忧。

\

三星和基于Roku平台的智能电视容易受到基于网络的黑客攻击

 

《消费者报告》在美国销量最高的电视机品牌中挑选了5款机型,通过正规零售店购买了它们,用于此次评估。就操作系统而言,三星UN49MU8000使用了该公司自建的Tizen平台,LG 49UJ7700使用了LG自家的webOS平台,TCL 55P605采用Roku TV平台(海信、Insignia等其他品牌也选用该平台),索尼XBR-49X800E使用谷歌Android平台(LeEco和夏普亦是),Vizio P55-E1使用谷歌Chromecast平台。评估基于电视软件的设计是否遵循了基本安全实践加以进行,比如是否加密了个人或敏感数据,防止常见的漏洞等。

结果《消费者报告》在TCL和三星的智能电视中发现了缺陷。研究人员可以进入系统,对电视机调高/调低音量,从最低音量到极限,也可以快速循环切换频道,打开令人不安的YouTube内容,或将电视机从Wi-Fi网络中移除。这就好像有人闭着眼睛在操作遥控器似的,对一位不明所以的电视机用户来说,它可能让人毛骨悚然,好像有个入侵者在附近潜伏,或是通过电视机对你进行监控。

TCL的这个漏洞适用于运行Roku TV平台的设备,包括海信、日立、Insignia、飞利浦、RCA、夏普等其他公司的电视机以及Roku自家出品的流媒体播放器,比如Ultra。

《消费者报告》发现问题出在API(应用程序接口)上,即让开发人员使自己的产品能与Roku平台一起工作的程序。Disconnect首席工程师Eason Goodale说:“Roku设备默认情况下启用了完全不受保护的远程控制API。”它不是一扇锁着的门,更像是盏霓虹灯旁的透视纱窗,还留了“我们是开放的!”之类标志。其实2015年以来,在线编程论坛就已经普遍讨论过这种不安全的API机制。

当然,要成为真实世界的受害者,用户还需要使用和智能电视处于同一Wi-Fi网络、且运行着的手机或笔记本电脑,用它们来访问网站或下载带有恶意代码的移动应用程序。例如,当用户被骗点击了钓鱼电子邮件中的链接,或访问了包含嵌入代码的广告网站后,才可能发生这种情况。

TCL回应了有关Roku的数据收集和此漏洞的相关问题。Roku的女发言人则通过邮件表示:“使用该API时,我们的客户帐户或Roku平台没有安全风险”,并指出可以在设置中关闭外部控制功能。不过这也将通过Roku应用程序来禁用设备控制。

三星的漏洞很难被发现。只有当用户之前在与电视机一起使用的移动设备上应用了远程控制应用程序,之后又使用该设备打开恶意网页时,才有可能被黑客利用。Eason Goodale表示:“三星智能电视试图确保只有经过授权的应用才能控制电视机。”不幸的是,他们用来确保应用程序以前被授权的机制是有缺陷的,就好像一旦你打开了这扇门,门就再也锁不住了。三星回复时表示,感谢《消费者报告》提醒他们注意潜在的问题,将通过更新API来解决问题,预计在2018年的软件更新中会实现。

\

设置过程中,许多智能电视会要求用户同意广泛的数据收集(图示中为LG的该模式)

 

《消费者报告》评估后表示,每一台智能电视都会要求获得收集查看数据的权限和其他类型信息的权限。用户并不总是理解他所同意的内容,如果拒绝授权,就会失去一些令人惊讶的功能。实际上,智能电视往往要求你在安装过程中接受更广泛的隐私条款,才能使用包括最基本的、无互联网应用的功能,哪怕你还在用天线收看电视。

当智能电视在设置中要你同意一切隐私选项后,它就会持续收集你的观看数据流,识别你在电视上播放的所有节目,包括有线/无线电视、流媒体,甚至是DVD和蓝光光盘,并将数据发送给制造商和合作伙伴。ACR可以推荐你想看的节目,也可用于将广告定向推送给你和你的家人,或是用于其他营销目的,而且你以后并不能轻松查看或删除这些数据。

你可以限制数据收集,但会失去一部分功能。如果你足够懂行,可以在同意一套基本隐私政策的同时关闭ACR,但你必须就此放弃部分功能。如果用户完全拒绝,那么你就只能使用有线机顶盒或天线来收看电视节目,而且无法获得亚马逊、Netflix等基于网络的流媒体服务。

索尼是唯一要求你同意隐私政策和服务条款后才能完成设置的电视机。它使用谷歌Android TV平台,即使用户不打算连接互联网,也必须点击“是”来进入谷歌协议。更糟糕的是,你只有在商店里将它们买回家后才会发现原来有这么一回事。就算你不能跳过谷歌的隐私政策,但也可以拒绝索尼和ACR技术提供商Samba TV的用户协议。索尼回应说:“如果用户有任何与谷歌/Android共享信息的担忧(例如他们不需要将智能电视连接到互联网或Android服务器),可以使用有线或无线广播信号。”

 

那么用户可以做些什么?

买个老式“愚蠢的”电视机,没有内置流媒体功能的?眼下这会变得很难。《消费者报告》评价过200款大/中尺寸电视机,只有16款为非智能(互联网)电视,它们于2017出品,预计2018年无网络功能的电视机将会更少。

当用户购买新的智能电视时,可以决定是否要阻止数据收集,安装过程中请密切关注。在那里,用户可以同意基本的隐私政策和服务条款(虽然这仍会触发大量的数据收集),同时拒绝ACR。

如果已经拥有智能电视,但希望限制数据收集,则可以执行以下操作:

将电视机重置,再进行设置。只对基本的隐私政策和服务条款说“是”,但不同意收集查看数据。

设置关闭ACR,这些设置通常会埋藏在第3或第4个菜单中,如果用户不明白就打电话给客户支持,让他们引导你。这将会让电视机公司知道你关心自己的隐私。

关闭电视机的Wi-Fi连接,这样就无法使用它的智能功能。由此,也许用户还需要添加流媒体播放机来获取基于Web的内容。不过,这些设备可能也有自己的数据收集协议。

猜你喜欢

年度旗舰级QLED电视 Samsung(三星) Q系列

70-01-01

年度旗舰级QLED电视 Samsung(三星) Q系列

DCI认证,三星推首个3D Cinema LED显示屏

70-01-01

DCI认证,三星推首个3D Cinema LED显示屏

美《消费者报告》杂志:三星和基于Roku TV平台的智能电视易受黑客攻击

70-01-01

美《消费者报告》杂志:三星和基于Roku TV平台的智能电视易受黑客攻击

三星“The Wall”MicroLED电视

70-01-01

三星“The Wall”MicroLED电视

三星LG首次合作:液晶面板成为中间桥梁

70-01-01

三星LG首次合作:液晶面板成为中间桥梁

三星地位不保?LGD发力中小尺寸OLED面板

70-01-01

三星地位不保?LGD发力中小尺寸OLED面板