Wraz z rozwojem „internetu przedmiotów” rośnie również spektrum możliwości zbierania informacji o zachowaniach konsumentów. Korzysta z tego LG, którego telewizory przesyłają informacje o oglądanych kanałach i plikach na podłączanych napędach.
W serwisie Slashdot pojawiła się dzisiaj informacja o tym, że pewien użytkownik telewizora LG zauważył, że jego telewizor nie tylko wyświetla reklamy pobierane z sieci, ale także wysyła do centrali firmy informacje o każdorazowym przełączeniu kanału oraz o zawartości podłączanych napędów USB. Choć tej funkcji nie da się wyłączyć, można ją zablokować.
Telewizor wysyła czy chcesz, czy nie
Kiedy autor bloga DoctorBeet zauważył na ekranie swojego nowego telewizora LG Smart TV reklamy, postanowił przyjrzeć się bliżej mechanizmom ich dostarczania i doboru. Po krótkim poszukiwaniu znalazł na jednej z witryn LG film reklamujący możliwości firmy w zakresie zbierania informacji o kanałach oglądanych przez użytkowników jej produktów. To, co usłyszał, skłoniło go do dalszych poszukiwań. W menu telewizora, w sekcji „Ustawienia”, znalazł opcję „Collection of watching info”. Podłączył zatem telewizor do huba, na którym mógł podsłuchiwać cały ruch internetowy urządzenia i przyjrzał się pakietom.
Opcja zbierania informacji
Ku jego zaskoczeniu, bez względu na to, czy opcja w menu stawiona była na „On” czy tez na „Off”, zbierane dane płynęły na serwery LG. Kiedy przyjrzał się pakietom, zobaczył, że każda zmiana kanału generuje żądanie POST do serwera, zarządzanego przez LG, z informacją o wybranym kanale. Tak wygląda przykład komunikatu:
GB.smartshare.lgtvsdp.com POST /ibs/v2.2/service/watchInformation.xml HTTP/1.1 Host: GB.ibis.lgappstv.com Accept: */* X-Device-Product:NETCAST 4.0 X-Device-Platform:NC4M X-Device-Model:HE_DTV_NC4M_AFAAABAA X-Device-Netcast-Platform-Version:0004.0002.0000 X-Device-Country:GB X-Device-Country-Group:EU X-Device-ID:2yxQ5kEhf45fjUD35G+E/xdq7xxWE2ghu0j4an9kbGoNcyWaSsoLgyk8JJoMtjRrYRsVS6mHKy/Zdd6nZp+Y+gK6DVqnbQeDqr16YgacdzKU80sCKwOAi1TwIQov/SlB X-Authentication:YMu3V1dv8m8JD0ghrsmEToxONDI= cookie:JSESSIONID=3BB87277C55EED9489B6E6B2DEA7C9FD.node_sdpibis10; Path=/ Content-Length: 460 Content-Type: application/x-www-form-urlencoded &chan_name=BBC TWO&device_src_idx=1&dtv_standard_type=2 &broadcast_type=2&device_platform_name=NETCAST 4.0_mtk5398&chan_code=251533454-72E0D0FB0A8A4C70E4E2D829523CA235&external_input_name=Antenna&chan_phy_no=&atsc_chan_maj_no=&atsc_chan_min_no=&chan_src_idx=1&chan_phy_no=&atsc_chan_maj_no=&atsc_chan_min_no=&chan_phy_no=47&atsc_chan_maj_no=2&atsc_chan_min_no=2&chan_src_idx=1&dvb_chan_nw_id=9018&dvb_chan_transf_id=4170&dvb_chan_svc_id=4287&watch_dvc_logging=0
Nie tylko kanały
Dalsza analiza transmisji wykazała, że do centrali LG trafiają nie tylko dane o oglądanych kanałach, ale także nazwy plików z podłączonych do telewizora napędów USB. W ramach eksperymentu badacz utworzył plik o charakterystycznej nazwie Midget_Porn_2013.avi, którego nazwa chwilę potem znalazła się w pakiecie wysłanym do serwera GB.smartshare.lgtvsdp.com.
Dane o plikach
Czy ktoś to czyta?
Co ciekawe, według analizy ruchu wszystkie próby przesłania danych przez telewizor kończą się komunikatem o błędzie 404, oznaczającym brak skryptu odbierającego dane na serwerze. Oczywiście nie oznacza to, ze dane nie są zbierane (sam serwer może być tak skonfigurowany, by je zapisywać), jednak najprawdopodobniej trafiają w przypadku tego użytkownika w pustkę. Bloger wysłał odpowiednie zapytanie do LG z prośba o komentarz, jednak w odpowiedzi usłyszał, że ewentualne reklamacje powinien kierować do punktu sprzedaży, w którym zakupił swój sprzęt.
Jak zablokować tę funkcję?
Jeśli macie „mądry” telewizor LG podłączony do internetu i nie życzycie sobie bycia szpiegowanym, możecie zaimplementować na swoim ruterze taką oto czarną listę przygotowaną przez autora odkrycia:
ad.lgappstv.com yumenetworks.com smartclip.net smartclip.com llnwd.net smartshare.lgtvsdp.com ibis.lgappstv.com
Powinna ona nie tylko wyłączyć transmisję Waszych danych, ale także pozwoli pozbyć się reklam serwowanych w menu telewizora.
Czy to tylko LG?
LG bez wątpienia nie jest jedynym producentem sprzętu TV o podobnych możliwościach. W identyczne funkcje są zapewne wyposażone wszystkie telewizory nowej generacji oraz dekodery telewizji satelitarnej i kablowej posiadające tzw. kanał zwrotny, umożliwiający np. zamawianie filmów na żądanie czy granie w gry na ekranie telewizora. Oczywiście samo posiadanie takich funkcji nie oznacza, ze są one aktywne – to zależy od producenta sprzętu i decyzji firmy, która urządzenia wynajmuje klientom. Jeśli macie wątpliwości, co robi Wasz telewizor lub dekoder, czas podłączyć go do sniffera.
Komentarze
llnwd.net to domena pewnej firmy śledzącej użytkowników a zarazem CDN, więc po zablokowaniu tego na routerze część stron internetowych może nie działać tak jak powinna (np. brak obrazków, stylów, skryptów)
„Co ciekawe, według analizy ruchu wszystkie próby przesłania danych przez telewizor kończą się komunikatem o błędzie 404, oznaczającym brak skryptu odbierającego dane na serwerze.”
Niekoniecznie, bo skrypt po drugiej stronie może zwrócić tak na prawdę cokolwiek, nawet 500 Internal Server Error, jednocześnie „mieląc” dane.
Tym bardziej, że strona nie zwraca błędu HTTP 404 jak napisano, tylko informację o braku parametrów jeśli wywoła się ją metodą GET:
http://pl.ibis.lgappstv.com/ibs/v2.2/service/watchInformation.xml
610
Invalid Header Parameter
Permanentna inwigilacja!…nie wytrzymam!
No to super i pięknie wręcz bajecznie.Routery namierzają.Twój telewizor cię szpieguje.I czego chcieć więcej.Tylko się odłączyć od neta i czuć się jak za czasów Augusta Poniatowskiego.Nic dodać nic ująć
Nie kupować TV LG!