На прошлой неделе из политики приватности смарт-телевизоров компании Samsung стало известно, что устройства обладают возможностью прослушивать разговоры пользователей. Правда, делается это после произнесения кодовой фразы Hi TV!, однако само наличие технической возможности открывает дорогу ко взлому и прослушиванию всех разговоров подряд.
Чуть позже компания внесла изменения в политику приватности, говоря о том, что на сервер отправляются только определённые команды. Тут же был произнесён привычный для таких ситуаций набор слов о том, что компания серьёзно относится к собираемым данным, использует лучшие практики сетевой безопасности и никогда не даёт к этим данным доступа сторонним компаниям или лицам. Исследование британской компании Pen Test Partners показывает, что верить этим заверениям не стоит.
Исследователь Дэвид Лодж установил, что данные передаются на сервер через порт 443, открытый в большинстве маршрутизаторов, в виде сочетания данных формата XML и пакетов двоичных данных. При этом даже не используется безопасное соединение HTTPS. На сервер также отправляется информация о MAC-адресе и версии операционной системы. Ответы сервера также не зашифрованы, и специалисты смогли декодировать передаваемые данные и прочитать сказанные слова.
Исследование проводилось на поступившем в продажу в 2012 году телевизоре UE46ES8000. Samsung говорит, что её новые модели передают данные в зашифрованном виде, однако что именно означает слово «новые», не поясняется. UE46ES8000 был в момент релиза моделью верхнего сегмента с ценой $2300-$3000.
Часто говорится о том, что простые пользователи должны серьёзно относится к своей сетевой безопасности, использовать сложные и разные для каждого сайта пароли, антивирусы, файерволы и т.д. Однако крупнейшие IT-корпорации сами не подают правильного примера и не перестают удивлять своим безответственным подходом к безопасности пользовательских данных. Зачастую после случившихся взломов мы узнаём, что логины, пароли и номера кредитных карт хранятся в виде простого текста, как это было, например, при взломе сети Sony PlayStation Network.
В случае таких взломов страдают пользователи, банки, платёжные системы, однако компании вроде Samsung или Sony не несут никакого наказания. Пока такое положение дел не изменится, вряд ли можно удивляться их подходу к вопросу безопасности.