Slimme Samsung-tv verstuurt stemaudio onversleuteld
De stemopdrachten die slimme televisies van Samsung opslaan en naar een derde partij doorsturen worden onversleuteld verstuurd, zo heeft een beveiligingsonderzoeker ontdekt. Onlangs ontstond er grote ophef over de stemherkenning van de Samsung SmartTV, waarmee consumenten via stemopdrachten de televisie kunnen besturen.
Beveiligingsonderzoeker David Lodge besloot het verkeer dat van de televisie afkomstig is te onderzoeken. Hij zag daarbij een verbinding over poort 443, dat normaliter HTTPS aangeeft. Vervolgens besloot Lodge de inhoud van de datastroom te bekijken en zag dat het helemaal niet om versleutelde data ging. Het was zelfs geen HTTP-data, maar een combinatie van XML en een binair datapakket. "De gluiperds, ze gebruiken 443/TCP om de data over te tunnelen, waarschijnlijk omdat veel standaardfirewallconfiguraties verkeer naar poort 80 en 443 buiten het netwerk toestaan", aldus de onderzoeker.
Verder bleek dat er allerlei informatie over de tv wordt verstuurd, zoals MAC-adres en de versie van het besturingssysteem. Ook kon het stemcommando worden gezien dat hij gaf. Wel stelt Lodge dat de televisie niet naar gebruikers luistert, tenzij dit via het commando wordt geactiveerd. Iets wat echter met elke volgende firmware-update kan veranderen, waardoor continu meeluisteren welk mogelijk zou worden, zo waarschuwt hij. Lodge roept Samsung dan ook op om in ieder geval SSL te gebruiken.
Het probleem is niet dat de informatie onversleuteld verzonden wordt.
Het probleem is dat deze informatie verzonden wordt!
Als het onversleuteld is dan is dat zelfs beter want dan kun je nog zien WAT er zoal naar buiten gaat.
Gaan we alle fabrikanten aansporen om alleen versleuteld te communiceren dan weten we helemaal niet meer wat er
gebeurt.
Kan dat dan ook met MITM SSL emuleren? Zou wel weer een extra stap zijn, eens.
Het probleem is dat deze informatie verzonden wordt!
Ik sluit me daar helemaal bij aan ...
Niks TV met slimme techniek, de TV beschikt gewoon over een microfoon iets uit de audio herkent en stuurt die vervolgens op.... het slimme gedeelte staat ergens bij samsung op een vage server, terwijl dit gewoon in je TV hoort te zitten ... (dit is een aanname)
Overigens zou ik me ook nog kunnen indenken dat het slimme gedeelte wel in de TV zit en dat de stemcommando's met andere doeleinden naar het netwerk van samsung worden gestuurd...
Niks TV met slimme techniek, de TV beschikt gewoon over een microfoon iets uit de audio herkent en stuurt die vervolgens op.... het slimme gedeelte staat ergens bij samsung op een vage server, terwijl dit gewoon in je TV hoort te zitten ... (dit is een aanname)
Tegenwoordig heeft de eerste de beste speelgoedtelefoon al spraakherkenning.
TV's, zeker als ze "smart" zijn, zijn zelf al computers. Spraakherkenning integreren met leerfunctie moet niet moeilijk zijn.
Als je niet wilt dat een ander weet wat je televisie doet, gebruikt dan een afstandbediening, of als dat eveneens een te groot risico is: gewoon de knoppen.
Gaan we alle fabrikanten aansporen om alleen versleuteld te communiceren dan weten we helemaal niet meer wat er
gebeurt.
Je mist het punt. Natuurlijk zou het beter zijn als dat niet allemaal doorgestuurd zou worden, maar als ze het onversleuteld doen, kan *iedereen* meelezen. Dat kan toch ook de bedoeling niet zijn? Geeft maar aan hoezeer Samsung bekommerd is om je privacy.
Er hoeft maar 1 maal ontdekt te worden wat voor data er wordt doorgestuurd. Wil je daarom die data altijd en van alle gebruikers zonder bescherming het netwerk op sturen?
Je mist het punt. Natuurlijk zou het beter zijn als dat niet allemaal doorgestuurd zou worden, maar als ze het onversleuteld doen, kan *iedereen* meelezen.
Dat slaat nergens op. Er kan bijna niemand meelezen. Alleen degenen op het pad tussen de TV en de server die
de controle hebben over een router kunnen meelezen. En als het versleuteld is en ze willen dat echt dan kan dat
evengoed wel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.