Ayer leía una interesante nota relacionada con los SmartTV de LG, donde un consultor del Reino Unido llamado Jason Huntley (@DoctorBeet) comentaba que había descubierto que su televisor registraba y enviaba los datos de los canales que estaba mirando a la empresa LG Electronics, incluso luego de haber desactivado la función “Collection of Watching Info”.
Es importante recordar que durante el 2012, LG lanzó al mercado una plataforma dirigida a los usuarios de sus SmartTV (LG Smart AD, que casualmente hoy se encuentra sin servicio) que les permitía a los anunciantes conocer detalles mas precisos de la audiencia activa en los distintos programas de televisión, y así seleccionar en qué programa colocar sus anuncios comerciales basándose en información como por ejemplo: Edad, Sexo, Ubicación Geográfica, etcétera, etcétera
Como el sitio actualmente se encuentra en mantenimiento, no es posible ver mucha información al respecto, sin embargo si utilizamos el querido sitio archive.org y buscando por http://lgsmartad.com/main/main.lge podemos encontrar estas dos definiciones:
Por lo cual el objetivo de la plataforma es bien claro y nadie puede negarlo, aunque estaría interesante que la función de desactivar el envío de información, funcionara también... Básicamente el esquema es sencillo, el sistema LG Smart AD envía los datos a través de un mensaje Post a los servidores de la empresa cada vez que alguien cambia de canal, dándole a los anunciantes y a las empresas encuestadoras de rating, información al instante sobre lo que sucede con cada usuario (conocido en el mundo de la publicidad televisiva y radial como el “minuto a minuto”).
Sin embargo, lo que más llama la atención es en realidad, que además de esa información, también es capaz de enviar datos como por ejemplo los nombres de los archivos que son reproducidos por medio de un USB externo conectado al TV, asociados al identificador único del televisor. Como es de esperarse, en texto plano, tal como se puede ver en la captura hecha por el propio DoctorBeet en su post original:
Como parte de su investigación, DoctorBeet creó un archivo de video con un nombre llamativo para ver si el mismo podía identificarse con un analizador de tráfico, y el resultado fue el esperado. Si tu red WiFi es insegura, todo el mundo podrá ver qué estás viendo en tu SmartTV.
Aquellos que trabajan en tareas de investigación, este tipo de noticias les resulta más que interesante porque en lo primero que piensan es en la posibilidad de utilizar ingeniería social para identificar por medio de un archivo determinado reproducido en un SmartTV, quien lo compró o en que casa lo están mirando a partir de los datos de la conexión IP (no todo el mundo usa una VPN para conectar su TV aInternet).
Claro está que desde otro punto de vista, y desde la presunción de “todos somos inocentes hasta que se demuestre lo contrario” utilizada en la legislación de varios países, la invasión a la privacidad es un detalle mucho más que sensible a considerar.
Toda esta noticia puede no ser sorprendente para muchos, y definitivamente esta claro que normalmente, aquellos que somos más paranoicos con todo, tengamos nuestras webcams de las notebooks, de las PC y hasta de SmartTV tapadas. Sin embargo, muchas personas ven como poco probable (o de película) un ataque realizado a través de una TV, o basado en el uso de ella como equipo zombie, o tal vez como pivote, sobre todo porque la gran mayoría de los ataques publicados hasta ahora contra los SmartTV, tienen que ver con noticias sobre denegaciones de servicio. Es así, que como pregunta de reflexión final para todos aquellos a los que ésta noticia no les sorprende:
Es importante recordar que durante el 2012, LG lanzó al mercado una plataforma dirigida a los usuarios de sus SmartTV (LG Smart AD, que casualmente hoy se encuentra sin servicio) que les permitía a los anunciantes conocer detalles mas precisos de la audiencia activa en los distintos programas de televisión, y así seleccionar en qué programa colocar sus anuncios comerciales basándose en información como por ejemplo: Edad, Sexo, Ubicación Geográfica, etcétera, etcétera
Figura 1: Imagen del sitio LG Smart AD sin servicio hoy |
Como el sitio actualmente se encuentra en mantenimiento, no es posible ver mucha información al respecto, sin embargo si utilizamos el querido sitio archive.org y buscando por http://lgsmartad.com/main/main.lge podemos encontrar estas dos definiciones:
Figura 2: Imágenes tomadas dehttps://web.archive.org/web/20130809105525/http://lgsmartad.com/main/main.lge |
Sin embargo, lo que más llama la atención es en realidad, que además de esa información, también es capaz de enviar datos como por ejemplo los nombres de los archivos que son reproducidos por medio de un USB externo conectado al TV, asociados al identificador único del televisor. Como es de esperarse, en texto plano, tal como se puede ver en la captura hecha por el propio DoctorBeet en su post original:
Figura 3: Imagen de la captura realizada por el investigador donde se observa el ID del SmarTV |
Como parte de su investigación, DoctorBeet creó un archivo de video con un nombre llamativo para ver si el mismo podía identificarse con un analizador de tráfico, y el resultado fue el esperado. Si tu red WiFi es insegura, todo el mundo podrá ver qué estás viendo en tu SmartTV.
Figura 4: Imagen de la captura realizada por el investigador donde se observa el nombre del archivo creado por él para la prueba |
Aquellos que trabajan en tareas de investigación, este tipo de noticias les resulta más que interesante porque en lo primero que piensan es en la posibilidad de utilizar ingeniería social para identificar por medio de un archivo determinado reproducido en un SmartTV, quien lo compró o en que casa lo están mirando a partir de los datos de la conexión IP (no todo el mundo usa una VPN para conectar su TV aInternet).
Claro está que desde otro punto de vista, y desde la presunción de “todos somos inocentes hasta que se demuestre lo contrario” utilizada en la legislación de varios países, la invasión a la privacidad es un detalle mucho más que sensible a considerar.
Toda esta noticia puede no ser sorprendente para muchos, y definitivamente esta claro que normalmente, aquellos que somos más paranoicos con todo, tengamos nuestras webcams de las notebooks, de las PC y hasta de SmartTV tapadas. Sin embargo, muchas personas ven como poco probable (o de película) un ataque realizado a través de una TV, o basado en el uso de ella como equipo zombie, o tal vez como pivote, sobre todo porque la gran mayoría de los ataques publicados hasta ahora contra los SmartTV, tienen que ver con noticias sobre denegaciones de servicio. Es así, que como pregunta de reflexión final para todos aquellos a los que ésta noticia no les sorprende:
¿Cuántas personas usan un USB exclusivo para reproducir contenido multimedia en sus dispositivos, y cuántas usan el mismo USB que utilizan en sus trabajos para transportar información confidencial?Saludos a todos.
Claudio B. Caracciolo
CSA at Eleven Paths
No hay comentarios:
Publicar un comentario