Forrige uke kom det frem en liten skandale da det ble kjent at Samsungs smarte tver med stemmestyring kunne fange opp personlig informasjon og overføre det til tredjeparter.
Dette ble selvsagt raskt avvist av Samsung, som presiserte at tvene deres ikke lagrer eller overfører sensitiv data til tredjeparter, og at alt som blir sagt til tven blir også kryptert. Noe av taledata sendes over til én tredjepart, nemlig Nuance Communications, et selskap som er en anerkjent leverandør av talegjenkjenningsteknologi.
Det er poenget med kryptering av data som sikkerhetseksperten David Lodge fant interessant, og ønsket å teste.
Lodge lånte seg en Samsung Smart-TV (han oppgir ikke modellnavnet) og kjørte en del forsøk for å finne ut hva som skjer med taledata.
Han konkluderer med at tven for det første bare lytter når den blir bedt om det. Og ja, den sender data til en tredjepart, den nevnte Nuance Communications. Lodge brukte et verktøy som analyserer nettverkstrafikken, og la merke til at talekommandoer som blir sendt over til Nuance blir ikke kryptert. Kommandoene blir sendt over via 443/tcp-porten, men dataen blir ikke SSL-kryptert.
Som Lodge viser til i skjermbilder kan man tydelig se tvens MAC-adresse, operativsystem-versjonen, og ikke minst - hva som ble sagt til tven i ren tekst.
Dette kan i verste fall føre til at noen legger inn uautorisert firmware i tven som kan deretter brukes til uhyggelige formål. Og uansett - mye privat data havner faktisk utenfor hjemmet, selv om det ikke nødvendigvis legges opp til avlytting.
Selskapet Lodge jobber for, Pen Test Partners, sier også til nettstedet The Register at de har klart å dekode lydfilene tven sendte ut, og altså faktisk høre gjennom det som ble sagt til tven av brukeren.
