Միլիոնավոր խելացի հեռուստացույցներ խոցելի են հակերների համար

Միլիոնավոր խելացի հեռուստացույցներ խոցելի են հակերների համար

Ահա մի փոքր նախազգուշացում ձեզ համար, եթե խելացի հեռուստացույց ունեք կամ նախատեսում եք այն գնել. Միլիոնավոր սարքեր ունեն անվտանգության խոցելիություններ, որոնք հակերներին հնարավորություն կտան հեռակա կարգով փոխել ալիքները, ձայնի մակարդակը և այլն: Եվ այս սարքերի արտադրողները կարող են վերահսկել և հավաքել շատ տեղեկություններ ձեր դիտելու սովորությունների մասին, հավանաբար ավելին, քան դուք կցանկանայիք:


optad_b

Սպառողների շահույթ չհետապնդող հաշվետվությունները բացահայտումը կատարել են լայնորեն գաղտնիության և անվտանգության գնահատում լավագույն խելացի հեռուստատեսային ապրանքանիշերի, որոնք այն իրականացրել է անվտանգության ընկերության հետ համագործակցությամբ Անջատել և հետազոտական ​​ինստիտուտը Դասակարգում թվային իրավունքները ,

Դա առաջին անգամը չէ անվտանգության և գաղտնիության թերություններ հայտնաբերվել են խելացի հեռուստացույցներում և այլ խելացի կենցաղային տեխնիկայում: Այնուամենայնիվ, ինտերնետով միացված հեռուստացույցների հաշվառման համար Համաշխարհային մասով առաքված սարքերի ավելի քան 60 տոկոսը , այդ մտահոգությունները ծանրացնում են: Այսպիսով, չնայած դուք վայելում եք ձեր նախընտրած հոսքային ծառայությունը ձեր մեծ էկրանով հեռուստացույցով դիտելու ունակությունը, պետք է նաև զգուշանաք անվտանգության և գաղտնիության հետ կապված մտավախություններից, որոնք կարող է հետապնդել:



Ինչու խելացի հեռուստացույցները խոցելի են

Ուսումնասիրված Սպառողների ռեպորտաժների մի քանի հայտնի խելացի հեռուստացույցների շարքում `Samsung- ի և TCL- ի պատրաստած հեռուստացույցները և սարքերը, որոնք օգտագործում են Տարի Պարզվել է, որ խելացի հեռուստատեսային պլատֆորմը անվտանգության թերություններ ունի:

«Մենք պարզապես անվտանգության լավ փորձեր էինք փնտրում», - ասում է Մարիա Ռերեչիչը, ով վերահսկում է Consumer Reports էլեկտրոնիկայի փորձարկումը: «Անձնական կամ զգայուն տվյալների գաղտնագրում, ընդհանուր խոցելիությունից պաշտպանություն, այդպիսի բան»:

Հետազոտողները պարզել են, որ Samsung և TCL սարքերն ունեն խոցելի տեղեր, որոնք կարող են հաքերներին «շշուկից ձայնը մղել դեպի աղաղակող մակարդակներ, արագորեն պտտվել ալիքներով, բացել YouTube- ի անհանգստացնող բովանդակությունը կամ հեռացնել հեռուստացույցը WiFi ցանցից»: Այնուամենայնիվ, օգտագործումը թույլ չի տա հարձակվողներին լրտեսել օգտվողներին կամ տեղեկություններ հավաքել նրանց հեռուստացույցներից, ասվում է զեկույցում:

TCL սարքերի դեպքում թերությունները հայտնաբերվել են հիմքում ընկած Roku TV պլատֆորմի կիրառական ծրագրավորման միջերեսներում (API), որոնք օգտագործվում են նաև այլ ընկերությունների, ինչպիսիք են Sharp, Hisense, LG և Roku- ի սեփական հոսքային սարքերը: API- ները ֆունկցիաների ամբողջություն են, որոնք հնարավորություն են տալիս փոխգործակցել տարբեր ծրագրակազմի և սարքավորումների միջև: Ընկերություններն ու մշակողները օգտագործում են Roku API ՝ իրենց սարքերի համար հավելվածներ ստեղծելու համար:



Անվտանգության բացակայությունը Roku- ի պլատֆորմի հեռավոր API զանգերում առանց անվտանգության ստուգումների: «Սա նշանակում է, որ նույնիսկ ծայրաստիճան ոչ բարդ հակերները կարող են վերահսկողություն հաստատել Rokus– ի վրա», - ասում է Disconect– ի գլխավոր ինժեներ Eason Goodale: «Դա ավելի քիչ փակ դուռ է, և ավելի շատ թափանցիկ վարագույր ՝« Մենք բաց ենք »նեոնի ցուցանակի կողքին:»

Խոցելիությունն օգտագործելու համար հակերին անհրաժեշտ կլինի մուտք գործել նպատակային հեռուստացույցներ Wi-Fi: Դա կարող է պատահել, եթե նույն ցանցում գտնվող նոութբուք կամ սմարթֆոն օգտագործողին խաբեն ու տեղադրեն a չարամիտ ծրագրեր - վարակված ծրագիր կամ վնասակար կոդով կայքէջ այցելել:

Samsung- ի շահագործումը մի փոքր բարդ է և կաշխատի միայն այն սարքի վրա, որը նախկինում համագործակցել և հասանելի էր դարձել նպատակային հեռուստատեսության:

«Խելացի հեռուստացույցները ոչնչով չեն տարբերվում իրերի թուլությունն ու խոցելիությունը պարունակող հայտնի ծրագրակազմով աշխատող որևէ այլ ընդհանուր [Իրերի ինտերնետ (IoT)] սարքերից», - ասում է Կեստաս Մալակաուսկասը, կիբերանվտանգության SVP ՈՒՄ AI , ընկերություն, որը ապահովում է անվտանգության և ցանցային լուծումներ: «Պարզապես ժամանակի հարց է, երբ X ծրագրակազմում կբացահայտվի նոր խոցելիություն, և շահագործումները կմշակվեն և հասանելի կդառնան վայրի բնության յուրաքանչյուր հանցագործի կամ հակերների համար»:

Մալակաուսկասը նշում է, որ գրեթե բոլոր խելացի հեռուստացույցները ներկառուցված զննարկիչներ ունեն, որոնք նա անվանում է «վնասակար ծածկագիր ներբեռնելու և կատարելու համար մեկ այլ վեկտոր»: Եվ ի տարբերություն մեր նոութբուքերի և սմարթֆոնների, խելացի կենցաղային տեխնիկայի ապարատային և ծրագրային ապահովման սահմանափակումները խանգարում են դրանց գործարկմանը հակավիրուսային և հակավիրուսային գործիքներ ,

Այնուամենայնիվ, ոչ բոլորը համաձայն են, որ Consumer Reports- ի կողմից հայտնաբերված խոցելի կողմերը կրիտիկական բնույթ ունեն: «Roku- ի իրերը պահանջում են, որ հարձակվողը նստի նույն տեղական (Wi-Fi) ցանցում: Այդ պահին դուք ավելի մեծ խնդիրներ ունեք », - ասում է Շիուն Սալիվանը, կիբերանվտանգության ընկերության անվտանգության խորհրդական և հետազոտող F-Secure , Samsung- ի խոցելիությունը ներառում է չափազանց շատ «եթե», - ասում է Սալիվանը ՝ շատ մեծ ծախսեր գանձելով հաքերի համար, որը ցանկանում է կեղծել ձեր խելացի հեռուստատեսության ծավալը: «Չեմ կարծում, որ հակերներն ընդհանրապես կդրդվեն այս« խոցելիության »պատճառով», - ասում է նա:



Malakauskas- ը նշում է, որ չնայած խելացի հեռուստացույցները հակերների համար շատ հետաքրքիր թիրախ չեն կարող թվալ, նրանք միշտ կարող են աշխատել որպես հակերների դարպասներ ՝ ձեր տան ցանցում հենակետ ձեռք բերելու համար կողքից շարժվել ՝ տեղեկատվություն գողանալու համար այլ սարքերից:

Խելացի հեռուստացույցների գաղտնիության ռիսկերը

Բոլոր այն խելացի հեռուստացույցները, որոնք Consumer Reports- ը վերանայել է, օգտվողներից պահանջել են կորցնել իրենց դիտման տվյալները `սարքի միացված գործառույթներն օգտագործելու համար: «Մենք պարզեցինք, որ միշտ չէ, որ հեշտ է հասկանալ, թե ինչի հետ եք համաձայնվում, երբ ընթանում եք կարգավորման գործընթացում», - ասվում է զեկույցում: «Եվ եթե մերժեք թույլտվությունները, կարող եք զարմանալի գործունակություն կորցնել»:

Շատ խելացի հեռուստացույցներ օգտագործում են ավտոմատ բովանդակության ճանաչում (ACR), տեխնոլոգիա, որը արտադրողներին հնարավորություն է տալիս ճանաչել և դասակարգել ձեր դիտած բովանդակությունը: Սա ներառում է կաբելային, օդային հեռարձակումներ, հոսքային ծառայություններ և նույնիսկ DVD և Blu-ray սկավառակներ: ACR- ը ձեր հեռուստացույցից հավաքում է աուդիո, վիդեո և մետատվյալների նմուշներ և այն ուղարկում արտադրողին, որն այնուհետև վերլուծում է տվյալները ՝ ձեր նախապատվությունները հասկանալու համար և խորհուրդ տալիս այլ շոուներ, որոնք ձեզ կարող է հետաքրքրել դիտել: Բայց այն նաև օգտագործում է այս տեղեկատվությունը գովազդային և շուկայավարման նպատակներով: «Ավելի ուշ չեք կարող հեշտությամբ վերանայել կամ ջնջել այս տվյալները», - ասվում է Consumer Report- ում:

Հեռուստացույցներից մի քանիսը օգտվողներին հնարավորություն են տալիս անջատել ACR- ն `միևնույն ժամանակ համաձայնվելով գաղտնիության հիմնական պայմանագրի հետ: Այնուամենայնիվ, նույնիսկ գաղտնիության այդ հիմնական պայմանագրերը կարող են պահանջել ձեզ հրաժարվել ձեր գտնվելու վայրից, այն հոսքային ծրագրերից, որոնց վրա կտտացնում եք և այլն: Պայմաններին չհամաձայնելը ձեզ կզրկի ձեր հեռուստատեսության «խելացի» հատկություններից: «Կարող եք մալուխային տուփ կամ ալեհավաք կապել, բայց Amazon- ից, Netflix- ից կամ այլ համացանցային ծառայություններից ոչ մի բան չեք կարողանա հոսել», - ասվում է Consumer Report- ում:

Գաղտնիության վատթարագույն կարգավորումները հայտնաբերվել են Sony խելացի հեռուստացույցում, որն աշխատում է Google- ի կողմից Android TV հարթակ Կարգավորման գործընթացը հստակորեն պահանջում է, որ օգտվողները համաձայնվեն Google- ի գաղտնիության քաղաքականության հետ:

«Այն փաստը, որ դուունեցել էընդունել Google- ի դրույթներն ու պայմանները, դրանք դուր են գալիս, թե ոչ, որպեսզի սարքը պարզապես կարգավորելու համար, ինձ համար ավելի մեծ խնդիր էր, քան մնացած [գտածոները] », - ասում է F-Secure- ի Սալիվանը: «Էլ չենք ասում, որ ներկայումս հաղորդումներ կան Android հեռուստացույցները Չինաստանում վտանգվում են ծպտյալ աշխատողի կողմից »:

Սալիվանն ասում է, որ ACR- ը պարտադիր չէ, որ գաղտնիության խնդիր լինի այն սարքերի վրա, որոնք օգտվողից չեն պահանջում մուտք գործել որոշակի առցանց հաշիվ: «Բայց Android հեռուստացույցների դեպքում, կարծում եմ, որ հաշիվ միացնելու պահանջը (կամ մոտակա պահանջը) կարող է լինել խնդիր / վեկտոր, որը թույլ է տալիս անցանկալի միջմոլորակային նպատակային գովազդներ», - ասում է նա:

Consumer Report– ի վերջին հետազոտությունը արտահայտում է ավելի լայն մարտահրավերներ որ սպառնում է IoT սպառողական արդյունաբերությունը: 2016 թվականին խոցելի IoT սարքերը հակերներին հնարավորություն տվեցին գործարկել այն largestառայության մերժման (DDoS) ամենամեծ բաշխված հարձակումը պատմության մեջ , խափանելով առցանց ծառայությունների մատչելիությունը աշխարհի մեծ տարածքներում:

«Այս ոլորտում շուկային առաջին տեղում լինելը դեռ շատ ավելի կարևոր է, քան անվտանգության նախագծման սկզբունքները, որոնք կիրառվում են յուրաքանչյուր խելացի հեռուստատեսության ծրագրակազմում», - ասում է Մալակաուսկասը:

«Unfortunatelyավոք, սա սովորական պրակտիկա է և ոչ միայն խելացի հեռուստատեսության դեպքում», - համաձայն է Յոսի Աթիասը, IoT- ի անվտանգության գլխավոր տնօրենը Դոջո ՝ Բուլգուարդի կողմից , IoT գաղտնիության և անվտանգության ստարտափ: «Սարքեր վաճառողներն օգտվում են սպառողի կողմից ընդհանուր առմամբ գաղտնիության վերաբերյալ գիտելիքների և տեղեկացվածության պակասից: Այն միշտ դիմակավորված է երկարատև բարդ իրավական հայտարարությամբ, որը օգտվողները հակված չեն անտեսել: Վաճառողները չպետք է ստիպեն առևտրի ֆունկցիոնալությունը գաղտնիության համար: Դա կփոխվի միայն այն դեպքում, եթե կարգավորիչները միջամտեն և ստիպեն սարքերի վաճառողներին լռելյայն պահպանել օգտագործողի գաղտնիությունը »:

Ինչպես պաշտպանել ձեր խելացի հեռուստացույցը

«Առանց ցանցի երթևեկի պատշաճ տեսանելիության, սովորական սպառողի համար շատ դժվար է նույնիսկ իմանալ, արդյոք իր սարքը վնասված է», - ասում է Աթիասը:

Այնուամենայնիվ, կան որոշ միջոցառումներ, որոնք կարող են նվազագույնի հասցնել օգտագործողների հարձակման մակերեսը, Atias- ն առաջարկում է.

  • Անընդհատ թարմացրեք ձեր խելացի հեռուստատեսության որոնվածը և դրա վրա աշխատող ծրագրերը (խելացի հեռուստացույցների մեծ մասն ունի ավտոմատ թարմացման տարբերակ):
  • Նախընտրեք լարային կապերը անլարից, քանի որ դրանց փոխզիջումն ավելի դժվար է:
  • Գնեք խելացի հեռուստացույցներ միայն հեղինակավոր վաճառողներից, որոնք ունեն սխալներ պարբերաբար շտկելու և անվտանգության թարմացումներ թողարկելու պատմություն:
  • Խուսափեք USB ստեղները հեռուստացույցին միացնելուց, քանի որ դրանք կարող են չարամիտ ծրագրեր պարունակել:

CUJO- ի Malakauskas- ը խորհուրդ է տալիս համոզվել, որ հստակորեն հասկանում եք պայմաններն ու գաղտնիության քաղաքականությունը, նախքան ձեր խելացի հեռուստատեսությամբ ցանկացած ծառայություն ակտիվացնելը: «Առաջիկա E.U. Տվյալների պաշտպանության ընդհանուր կանոնակարգ (GDPR) կստիպի վաճառողներին տրամադրել Գաղտնիության քաղաքականության ավելի մանրամասն և հստակ հայտարարություններ, որոնք թույլ կտան սպառողներին հասկանալ, թե ինչ տվյալներ են հավաքելու և ինչպես են դրանք օգտագործվելու », - ասում է նա: Իհարկե, դա պարտադիր չէ, որ օգնի սպառողներին ԱՄՆ – ում

Malakauskas- ը նախազգուշացնում է նաև խելացի հեռուստացույցներում ընդհանուր զննարկիչներ չօգտագործելու մասին, քանի որ նրանք չունեն ներկառուցված անվտանգության հսկողություն ՝ վնասակար վեբ հարձակումներից պաշտպանվելու համար:

Սպառողները կարող են նաև տեղադրել ա խելացի տան պաշտպանության սարք ինչպիսիք են CUJO- ն, Dojo- ն կամ F-Secure Sense- ը: Այս սարքերը օգտագործում են մի շարք տեխնիկա, ինչպիսիք են սարքի վարքի մոնիտորինգը և փաթեթների ստուգումը ՝ ձեր տան ցանցում վնասակար գործողությունները հայտնաբերելու և արգելափակելու համար: Անվտանգության խելացի տան անվտանգության սարքերի ավելացված շերտը կարող է փոխհատուցել IoT սարքերում առկա բնորոշ խոցելի կողմերը:

Բեն Դիքսոնը ծրագրակազմի ինժեներ է և ընկերության հիմնադիր TechTalks- ը , Հետևեք նրա թվիթերին ՝ @ bendee983 և նրա մասին թարմացումները Ֆեյսբուք ,

Խմբագրի գրառումը. Այս հոդվածը թարմացվել է պարզության համար: