Zašto naši pametni televizori nisu dovoljno pametni da nas zaštite od hakera?

“Skeniranje vašeg računala u potrazi za virusima zlonamjernog softvera važno je za neometani rad. Ovo vrijedi i za vaš QLED TV ako je spojen na Wi-Fi!"

17. lipnja ovaj naizgled koristan savjet dijeli Samsungov račun za podršku u SAD-u na Twitteru izazvao je veliku reakciju među tehnološkim tiskom i potrošačima: Skeniranje virusa na TV-u? Nažalost, prijetnja je vrlo stvarna i mnogi od nas jednostavno su je odlučili ignorirati. Samsung je izbrisao tweet nekoliko sati nakon što je poslan, ali činjenica ostaje: naši pametni televizori ne rade dovoljno kako bi nas zaštitili od potencijalno zlonamjernih napada koji bi mogli ugroziti našu sigurnost i opljačkati našu osobnu sigurnost podaci. Evo što trebate znati kako biste bili što sigurniji.

Mogu li se hakirati pametni televizori?

Ukratko, da. Činjenica je da je svaki uređaj koji je spojen na internet, ili čak samo na vaš kućni usmjerivač putem Wi-Fi-ja, u opasnosti da mu pristupi uljez. Skloni smo zaboraviti da su pametni televizori zapravo moćna računala koja imaju snažnije procesore od onih koje su pametni telefoni imali prije pet godina.

Ta snaga, koja je ključna za isporuku nevjerojatnog audio, video i streaming sadržaja na koji smo navikli, također je ono što ove uređaje čini idealnom metom za hakere. Nakon što imaju pristup njima, pametnim televizorima može postati lansirna rampa za širenje virusa na ostatak vaše mreže i potencijalno ugrožavanje informacija na računalima, pametnim telefonima, tabletima itd. U ovom trenutku, mogućnost pristupa drugim uređajima s TV-a samo je nusproizvod načina na koji su svi povezani uređaji u vašem domu dijele zajedničku mrežu, ali Samsungova planirana značajka daljinskog pristupa zapravo je dizajnirana za pustiti te upravljajte pametnim telefonom ili računalom sa svog pametnog TV-a, što bi stvorilo još primamljiviju kutiju s blagom za digitalne lopove.

Je li moj TV u opasnosti od hakiranja?

Ako ste u bilo kojem trenutku u posljednje tri do četiri godine kupili novi TV, vjerojatno posjedujete pametni TV. U Consumer Reports' trenutne TV gledanosti, od 225 televizora s veličinom zaslona od 39 inča ili većim, samo 10 modela nisu pametni televizori. Ako je vaš TV a pametni TV, a vi ste ga povezali sa svojim kućnim usmjerivačem putem Wi-Fi ili Ethernet (a time i interneta), vaš TV je na rizik. Šokantno, jedan nedavni dokaz koncepta otkrio je da neki pametni televizori mogu biti hakirani čak i ako uopće nemaju pristup internetu.

Kako možemo smanjiti rizik?

Pametni televizori, kao i svi uređaji povezani s internetom, rade na softveru. Rijetko je da će tvrtka otkriti sve moguće sigurnosne propuste u tom softveru kada proizvod ide u prodaju, tako da su ažuriranja softvera standardni način zakrpanja ovih slabosti kakvi jesu otkrio.

"Ljudi bi trebali očekivati ​​da će proizvod koji kupuju biti ažuriran", rekao je Justin Brookman, direktor politike privatnosti i tehnologije u Consumer Reports. Ali ažuriranja softvera su problematična. Praćenje ovih ažuriranja proizvođače košta novca koji se mora potrošiti dugo nakon što je predmetni proizvod prodan, što gubi profit. Tvrtka sa širokim spektrom povezanih uređaja, od kojih svaki ima svoju malo drugačiju verziju tog softvera, ima još veće troškove od onih s relativno homogenom linijom proizvoda. Rezultat: Za razliku od operativnog sustava za vaše prijenosno računalo, vaš pametni TV može dobiti samo jedno ili dva ažuriranja tijekom svog životnog vijeka, ako ih ima, što je tijekom životnog vijeka od 10 do 15 godina nedovoljno.

Tu je i pitanje instalacije ažuriranja. Korisnici računala s pravom su inzistirali na tome da mogu birati hoće li ili ne instalirati ažuriranje softvera. Ažuriranje koje uzrokuje probleme s nekompatibilnošću s instaliranim softverom treće strane moglo bi biti katastrofalno. Nažalost, ovaj oprezan pristup ažuriranjima vođen korisnicima prenio se u svijet povezanih uređaja kao što su pametni televizori. Ali ljudi jednostavno ne razmišljaju o svojim televizorima kao o nečemu što treba ažurirati, tako da ta ažuriranja nisu uvijek dogoditi se.

"Kada je riječ o pametnim televizorima", rekao je Casey Ellis, stručnjak za kibernetičku sigurnost i osnivač Bugcrowd, “ovakvi procesi moraju biti transparentni za korisnika. Ne možete pretpostaviti da će moja baka shvatiti da postoji prijetnja.”

Brookman se slaže. "Ažuriranja bi se stvarno trebala obavljati automatski, bez potrebe za ljudskom intervencijom", rekao je, ističući da bi isto trebalo vrijediti i za virus skenira je li televizor opremljen takvim alatom, kao što je slučaj s pametnim televizorima koji se temelje na Samsungu Tizen. Neki televizori automatski instaliraju ažuriranja prema zadanim postavkama, ali čak i Sony preporučuje da povremeno provjerite imate li najnoviju verziju njegovog softvera - za slučaj da otkrije još neku pogrešku to bi moglo dopustite strancu da preuzme potpunu kontrolu nad vašim televizorom.

Što je najgore što se može dogoditi?

2013. godine, kada smo izvijestio o nizu potencijalnih podviga, od pregrijavanja laserskih pisača do kvarenja sve hrane u spojenom hladnjaku, osobnom računalu ili pametni telefon još uvijek bili "najosobniji" uređaji u našim domovima. Godinu dana kasnije, Amazonov Alexa izbili na scenu, najavljujući novu eru u kojoj bi digitalni pomoćnici mogli vršiti ogromnu kontrolu nad našom tehnologijom i našim podacima. Pametni televizori sada su najnoviji uređaji koji imaju Alexu i Google pomoćnik ugrađeni, a proizvođači TV-a počinju pozicionirati TV kao potencijalni kontrolni centar za cijeli vaš dom. Više nisu samo početna točka, televizori bi mogli postati glavni fokus hakera.

Sada je istina da ih je bilo vrlo malo prijavljenih incidenata hakiranih televizora ljudi. Većina priča koje ćete pronaći odnosi se na slabosti koje su istraživači otkrili, a koje bi se teoretski mogle koristiti kao način za provalu u vaše uređaje. Ali imajte na umu da su mnoge od najvećih krađa podataka u organizacijama kao što su Sony, Starwood Hotels i Yahoo otkrivene naknadno. U najnečuvenijim slučajevima hakeri su godinama imali pristup tim grupama prije nego što su konačno uhvaćeni. Samo zato što nismo saznali za ozbiljne upade u pametne televizore, ne znači da se to nije dogodilo.

Godine 2017. Wikileaks je otkrio da je CIA razvila softver pod kodnim imenom “Uplakani anđeo”, koji je osmišljen kako bi određeni modeli Samsungovih pametnih televizora izgledali kao da potpuno spavaju, dok su ugrađena web kamera i mikrofon ostali uključeni i korišteni za snimanje svega što se događa u prostoriji. Ranjivosti koje je Weeping Angel iskoristio u međuvremenu su zakrpane, ali to je jasan podsjetnik koliko su naši pametni televizori vrijedni onima koji bi nam nanijeli zlo.

Što proizvođači rade kako bi zaustavili hakere?

Ovo smo pitanje postavili predstavnicima nekoliko velikih proizvođača uključujući Sony, Samsung, LG, Vizio, Roku, Apple i Amazon. Također smo pitali kako svaka tvrtka komunicira sa svojim korisnicima u slučaju ozbiljnih sigurnosnih prijetnji ili zabrinutosti. Ono što smo dobili bio je vrlo raznolik niz odgovora, koji pokazuju da industrija pametnih TV-a još uvijek mora prijeći dug put u smislu standardizacije svog pristupa ovim pitanjima.

Sony: Sony, koji koristi Googleov Android TV softver za sve svoje trenutačne pametne televizore, uvelike se oslanja na Googleovu Trgovinu Play kako bi pružio zaštitu od zlonamjernog softvera skeniranjem aplikacija i prije i nakon što se instaliraju na televizore. Za korisnike koji odluče učitavati aplikacije putem USB-a, Sony nudi sigurnosni softver poznat kao "ESET", koji se može preuzeti za besplatno. Zanimljivo, kada su ga pitali o Sonyjevim proizvodima koji nisu Android TV, odgovor je bio, "što se tiče televizora koji nisu Android, televizor nema mogućnost instaliranja aplikacija.” Iako bi to moglo biti točno, instaliranje zlonamjerne aplikacije nije jedini način na koji pametni TV može biti ugrožen. Sony ažurira svoju web stranicu za podršku relevantnim problemima i ne obavještava izravno svoje korisnike.

Amazon: Amazon nam je rekao da pruža automatska sigurnosna ažuriranja korisnicima koji koriste platformu Fire TV. Ne zahtijevaju nikakvu radnju korisnika da bi se instalirali. Nije ponudio nikakve pojedinosti o tome kako ili obavještava kupce o sigurnosnim problemima.

Jabuka: Apple nam je rekao da je njegov Apple TV 4K, Apple TV HD i Apple TV treće generacije primaju redovita ažuriranja softvera, iako se ona ne instaliraju automatski osim ako ne odaberete automatska ažuriranja iz odgovarajućih izbornika postavki. Appleovi sigurnosni protokoli proširuju se i na App Store, a svaku aplikaciju provjerava Apple prije nego što postane dostupna za preuzimanje.

LG: Odbio je naš zahtjev

Vizio: Odbio je naš zahtjev

Samsung: Samsung je komentirao samo kako postupa s privatnošću korisnika.

Nažalost, nisu svi proizvođači pametnih televizora tako marljivi kao ove marke kada su u pitanju ažuriranja softvera. "Stvarno jeftini dobavljači obično imaju lošije rezultate kada je u pitanju prepoznavanje problema na njihovim sustavima koji se mogu iskoristiti", rekao je Ellis.

Dakle, što se događa kada proizvođač vašeg pametnog TV-a ili set-top box-a ne zakrpi svoj proizvod kako bi se nosio s potencijalnom prijetnjom? "Trenutačno ne postoje zakoni koji bi proizvođača pametnih televizora smatrali odgovornim za narušavanje privatnosti zbog zlonamjernog softvera", rekao je David Reischer, odvjetnik i izvršni direktor tvrtke LegalAdvice.com, što znači da bi tužba bila vaš jedini izlaz — i bila bi to daleko od zakucavanja. “Svaki odvjetnik može pokrenuti skupnu tužbu protiv proizvođača koji nije zaštitio potrošače od poznate sigurnosne ranjivosti. Međutim, pitanje dokazivanja štete može biti teško.”

S vremenom će možda biti lakše identificirati robne marke koje čine najviše za zaštitu potrošača. Digitalni standard nova je inicijativa otvorenog koda koju podržava Consumer Reports i koja nastoji stvoriti neovisnu ocjenu sustav koji se može primijeniti na potrošački softver, digitalne platforme i usluge te povezane s internetom proizvoda.

Što trebam učiniti da zaštitim svoj pametni TV od hakiranja?

Najjednostavniji način da se zaštitite može zahtijevati da se odreknete nekoliko dodataka svog sjajnog novog televizora. "Treba li vaš TV biti spojen na internet?" upita Ellis. “Kada uključite jednu od ovih stvari, to vas potiče da to učinite, a vjerojatno ćete i učiniti ono što piše." Ellis potiče ljude da dobro razmisle o tom izboru: “Koju korist imam od toga da? Je li ovo nešto što mi stvarno treba? Uvodi li to rizik u moj dom?”

Ako odlučite da koristi od povezivanja na internet nadmašuju rizike, ostanite na vrhu softverska ažuriranja — koliko god iritantna bila — najbolji su izbor u smislu održavanja sigurnosti vašeg pametnog televizora moguće. Ako vaš TV ne dobiva mnogo ažuriranja ili još gore, ako nikada nije primio ažuriranje za koje znate, razmislite o outsourcing njegovih "pametnih" značajki na pouzdaniji uređaj - po mogućnosti onaj koji ima pristup sigurnosti koji razumjeti.

Unatoč negativnoj reakciji na Samsungov neugodan tweet o skeniranju virusa, Ellis smatra da tvrtka zaslužuje priznanje za podizanje svijesti o stvarnosti koja okružuje pametne televizore. "Jest gotovo divljenja", rekao je, "jer znaju da postoji prijetnja koja postoji unutar nečijeg doma i pokušavaju omogućiti korisnicima da učine nešto kako bi to smanjili rizik."

Što je s mojom privatnošću?

Oni koji traže pristup vašim uređajima daleko su najveća prijetnja, ali nisu jedino područje koje zabrinjava kada su u pitanju pametni televizori i set-top box uređaji. Vaši osobni podaci, poput emisija i filmova koje gledate, su a potencijalna riznica za proizvođače, ili bilo tko drugi tko to može prikupiti. Godine 2016. Vizio je postao meta istrage Federalne komisije za trgovinu (FTC) zbog navodnog prikupljanja ove podatke, koji su se navodno događali bez svijesti ili pristanka njegovih kupaca, a zatim su prodani oglašivači. U Kaliforniji je pokrenuta kolektivna tužba protiv tvrtke zbog iste prakse. The rezultirajuća predložena nagodba ne samo da je uključivao financijsku kaznu, već je također prisilio Vizio da izbriše sve prikupljene podatke i da korisnicima jasan način da odustanu od takvog prikupljanja u budućnosti.

Ta tendencija - minimizirati ili prikriti način na koji TV prikuplja vaše osobne podatke - potaknula je dva senatora 2018. zatražiti istragu FTC-a o tim postupcima. Senatori su spomenuli slučaj Vizio u svom pismu FTC-u, ali to je a New York Times članak o Sambi, tvrtki koja koristi softver treće strane na nekoliko pametnih TV platformi za prikupljanje podataka o gledateljima, koji je privukao njihovu pozornost. "Nažalost", napisali su senatori, "korisnici pametnih TV-a možda nisu svjesni do koje mjere njihovi televizori prikupljaju osjetljive informacije o njihovim navikama gledanja."

Ovi slučajevi naglašavaju koliko su pametni televizori promijenili odnos između TV gledatelja i tvrtki koje žele pratiti njihovo ponašanje. Gore smo pitali iste proizvođače o njihovim aktivnostima prikupljanja podataka, ali njihovi su se odgovori opet znatno razlikovali.

Samsung nam je rekao da “prije prikupljanja bilo kakvih informacija od potrošača uvijek tražimo njihov pristanak i činimo sve moguće osigurati da se podacima postupa s najvećom pažnjom.” Tvrtka nije navela primjere kako se ova suglasnost traži, ali zahtijeva korisnicima do složiti se s politikom privatnosti je uobičajena metoda za to.

Sony nam je rekao da kada korisnici odluče koristiti aplikacije trećih strana na svojim pametnim televizorima, Sony ne prikuplja te podatke (ako ih ima) za sebe. Također je potvrdio da su aktivnosti prikupljanja podataka vlastitih aplikacija pokrivene odgovarajućim pravilima o privatnosti za svaku aplikaciju i za njezine televizore.

Čini se da Amazon svojim korisnicima daje dobru količinu kontrole nad njihovim podacima, uz nove postavke privatnosti koji korisnicima omogućuju isključivanje iz četiri područja prikupljanja podataka: prilagođeni oglasi, podaci temeljeni na aplikaciji, podaci o korištenju uređaja i praćenje podataka.

Drugim riječima, bez obzira koji pametni TV ili set-top box posjedujete, morat ćete vrlo pažljivo čitati sitna slova kako biste znali koje osobne podatke pristajete dijeliti i istražite izbornike postavki kako biste vidjeli koje su vam opcije isključivanja su. "Grupe za prava na privatnost ulagale su napore da standardiziraju zadane postavke za uključivanje obavijesti i pristanka na dijeljenje podataka", Reischer rekao, "ali još uvijek ne postoji standardna zadana postavka za potrošače da pristanu (ili ne) na dijeljenje podataka između pametnih TV-a proizvođači.”

Problem je u tome što može biti teško ili čak nemoguće potpuno spriječiti ovo prikupljanje podataka. Ulaskom u postavke TV-a otkrit ćete načine za isključivanje tih programa, ali ponekad to i učinite onemogućit će određene značajke kao što su odabrane TV emisije i preporuke filmova ili čak cijele usluge. LG-eve značajke Channel Plus i Live Plus, koje vam daju pristup besplatnom strujanju sadržaja, zahtijevaju dopuštenje prikupljanja podataka. Ako povučete dozvolu, ove će aplikacije biti onemogućene.

Još uvijek je Divlji zapad

Ako ste sada zaključili da ne postoje nikakvi standardi oko sigurnosti pametnog televizora ili prikupljanja podataka, u pravu ste. Tamo je uvelike Divlji zapad, što znači da ćete sami sebi morati biti najbolji resurs kada je riječ o zaštiti vaših podataka. Najvažnije je shvatiti da je pametni TV — ili set-top box — punopravan računalo povezano s internetom i kao takvo, potencijalno je ranjivo na iste sigurnosne napade kao i vaše laptop ili desktop.

Njegovo potpuno isključivanje s interneta ostaje jedna od rijetkih stvari koje možete učiniti kako biste spriječili hakere da mu pristupe, iako je to očito termonuklearna opcija. Održavanje ažuriranja softvera — idealno uključivanjem automatskih ažuriranja ako vaš uređaj ima takvu postavku — najveći je korak koji možete poduzeti ako još uvijek želite uživati ​​u "pametnim" značajkama svog TV-a.

Uvijek pročitajte odredbe i uvjete na koje pristajete kada koristite pametni TV ili bilo koju od njegovih uključenih aplikacija ili usluga. U mnogim slučajevima ovi uvjeti uključuju jezik koji proizvođačima daje vaš pristanak za prikupljanje podataka, čak i ako taj pristanak nisu sami zatražili jasno i konkretno.

Preporuke urednika

• Vizio ima nove pametne televizore i zvučne trake za 2023., ali najbolji možda tek dolaze
• Zašto je Best Buy upravo povukao TCL-ove Google TV-e iz trgovina
• Samsung donosi aplikacije za zdravlje i dobrobit na svoje pametne televizore
• Izbezumljen FBI-jevim upozorenjem pametnog televizora? Evo što biste trebali učiniti
• Samsungova značajka daljinskog pristupa povezivat će njegove pametne televizore s računalima, telefonima itd