image

Slimme Samsung-tv verstuurt stemaudio onversleuteld

vrijdag 20 februari 2015, 10:13 door Redactie, 10 reacties

De stemopdrachten die slimme televisies van Samsung opslaan en naar een derde partij doorsturen worden onversleuteld verstuurd, zo heeft een beveiligingsonderzoeker ontdekt. Onlangs ontstond er grote ophef over de stemherkenning van de Samsung SmartTV, waarmee consumenten via stemopdrachten de televisie kunnen besturen.

Beveiligingsonderzoeker David Lodge besloot het verkeer dat van de televisie afkomstig is te onderzoeken. Hij zag daarbij een verbinding over poort 443, dat normaliter HTTPS aangeeft. Vervolgens besloot Lodge de inhoud van de datastroom te bekijken en zag dat het helemaal niet om versleutelde data ging. Het was zelfs geen HTTP-data, maar een combinatie van XML en een binair datapakket. "De gluiperds, ze gebruiken 443/TCP om de data over te tunnelen, waarschijnlijk omdat veel standaardfirewallconfiguraties verkeer naar poort 80 en 443 buiten het netwerk toestaan", aldus de onderzoeker.

Verder bleek dat er allerlei informatie over de tv wordt verstuurd, zoals MAC-adres en de versie van het besturingssysteem. Ook kon het stemcommando worden gezien dat hij gaf. Wel stelt Lodge dat de televisie niet naar gebruikers luistert, tenzij dit via het commando wordt geactiveerd. Iets wat echter met elke volgende firmware-update kan veranderen, waardoor continu meeluisteren welk mogelijk zou worden, zo waarschuwt hij. Lodge roept Samsung dan ook op om in ieder geval SSL te gebruiken.

Image

Reacties (10)
20-02-2015, 11:10 door Anoniem
Zoals gebruikelijk wordt weer niet de kern van het probleem geraakt.
Het probleem is niet dat de informatie onversleuteld verzonden wordt.
Het probleem is dat deze informatie verzonden wordt!

Als het onversleuteld is dan is dat zelfs beter want dan kun je nog zien WAT er zoal naar buiten gaat.
Gaan we alle fabrikanten aansporen om alleen versleuteld te communiceren dan weten we helemaal niet meer wat er
gebeurt.
20-02-2015, 12:52 door Anoniem
@Anoniem 11:10:
Kan dat dan ook met MITM SSL emuleren? Zou wel weer een extra stap zijn, eens.
20-02-2015, 13:09 door Preddie
Door Anoniem:
Het probleem is dat deze informatie verzonden wordt!

Ik sluit me daar helemaal bij aan ...

Niks TV met slimme techniek, de TV beschikt gewoon over een microfoon iets uit de audio herkent en stuurt die vervolgens op.... het slimme gedeelte staat ergens bij samsung op een vage server, terwijl dit gewoon in je TV hoort te zitten ... (dit is een aanname)

Overigens zou ik me ook nog kunnen indenken dat het slimme gedeelte wel in de TV zit en dat de stemcommando's met andere doeleinden naar het netwerk van samsung worden gestuurd...
20-02-2015, 15:06 door mcb
Door Predjuh:
Niks TV met slimme techniek, de TV beschikt gewoon over een microfoon iets uit de audio herkent en stuurt die vervolgens op.... het slimme gedeelte staat ergens bij samsung op een vage server, terwijl dit gewoon in je TV hoort te zitten ... (dit is een aanname)
Inderdaad, hoe moeilijk kan dit zijn.
Tegenwoordig heeft de eerste de beste speelgoedtelefoon al spraakherkenning.
TV's, zeker als ze "smart" zijn, zijn zelf al computers. Spraakherkenning integreren met leerfunctie moet niet moeilijk zijn.
20-02-2015, 15:44 door Anoniem
Gluiperds? Zijn dat zolderkamer-onderzoekers die meningen en feiten mixen op met pek te kunnen gooien die weinig plak heeft?
Als je niet wilt dat een ander weet wat je televisie doet, gebruikt dan een afstandbediening, of als dat eveneens een te groot risico is: gewoon de knoppen.
20-02-2015, 16:26 door Anoniem
Bestaat er al een TV firewall ??
20-02-2015, 20:19 door Anoniem
Waarom hangt die TV aan internet? Ik zie daar nog steeds het nut niet van in.
20-02-2015, 20:47 door Anoniem
dat wordt inderdaad de tv firewallen, alleen de nos en netflix ranges open (want dat is wat ik ermee doe) en klaar. jammer dat het weer zo moet.
21-02-2015, 08:04 door Anoniem
Door Anoniem: Als het onversleuteld is dan is dat zelfs beter want dan kun je nog zien WAT er zoal naar buiten gaat.
Gaan we alle fabrikanten aansporen om alleen versleuteld te communiceren dan weten we helemaal niet meer wat er
gebeurt.

Je mist het punt. Natuurlijk zou het beter zijn als dat niet allemaal doorgestuurd zou worden, maar als ze het onversleuteld doen, kan *iedereen* meelezen. Dat kan toch ook de bedoeling niet zijn? Geeft maar aan hoezeer Samsung bekommerd is om je privacy.

Er hoeft maar 1 maal ontdekt te worden wat voor data er wordt doorgestuurd. Wil je daarom die data altijd en van alle gebruikers zonder bescherming het netwerk op sturen?
21-02-2015, 11:48 door Anoniem
Door Anoniem:
Je mist het punt. Natuurlijk zou het beter zijn als dat niet allemaal doorgestuurd zou worden, maar als ze het onversleuteld doen, kan *iedereen* meelezen.

Dat slaat nergens op. Er kan bijna niemand meelezen. Alleen degenen op het pad tussen de TV en de server die
de controle hebben over een router kunnen meelezen. En als het versleuteld is en ze willen dat echt dan kan dat
evengoed wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.