Vai al contenuto
Ma quanto sono spione le “smart TV”

Ma quanto sono spione le “smart TV”

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Se avete acquistato una “smart TV”, vi siete mai fermati a leggere le sue condizioni di gestione dei vostri dati personali? Probabilmente no. Probabilmente non immaginavate neanche che un televisore avesse delle condizioni del genere.

Ma le ha, e sono sorprendentemente invadenti e soprattutto vengono cambiate unilateralmente. In pratica, se comprate una “smart TV”, pagate per farvi schedare e spiare: quello che dite mentre il televisore è acceso verrà registrato. Non dai criminali informatici, ma dai produttori di questi dispositivi.

È un problema segnalato da varie fonti, come Techdirt e Salon, i cui esperti si sono presi la briga di leggere le tediosissime pagine informative sulla privacy che accompagnano questi e altri dispositivi “smart”. Per esempio, l’informativa generale di Samsung dice che Samsung “usa tecnologie… che consentono di sapere quando avete visto uno specifico contenuto o una specifica mail” e registra “le app che usate, i siti Web che visitate, e come interagite con i contenuti.”

Non è finita. La seguente perla è presente in questo documento sulla privacy di Samsung (link breve: tinyurl.com/tv-pettegola; versione italiana), specifico per le Smart TV: “Siete pregati di tenere presente che se le vostre parole pronunciate includono informazioni personali o altre informazioni sensibili, tali informazioni faranno parte dei dati catturati e trasmessi a terzi tramite il vostro uso del Riconoscimento Vocale.”

In pratica, se usate le funzioni di riconoscimento vocale incorporate nelle “smart TV”, state attenti a quello che dite quando siete davanti alla TV accesa, perché il riconoscimento non viene effettuato localmente, sul televisore: quello che dite viene trasmesso via Internet a “terzi” (imprecisati; forse Nuance, secondo questo manuale Samsung, pagina 222), che lo analizzano e convertono al volo in comandi.

Come se tutto questo non bastasse, i fabbricanti delle “smart TV” possono cambiare le proprie regole di gestione dei dati personali dopo che avete acquistato l’apparecchio: Techdirt riferisce che LG, per esempio, ha inviato a maggio 2014 un aggiornamento software ad alcune sue “smart TV” che conteneva una modifica di questo genere. L’utente si è trovato obbligato a scegliere fra perdere le funzioni “smart” regolarmente pagate all’acquisto, e quindi trovarsi con un televisore menomato, e consegnare a LG e ai soliti “terzi” (sempre imprecisati) una quantità esagerata di dati personali, comprese “le parole usate per cercare contenuti, i dettagli delle azioni compiute durante la visione (per esempio riproduzione, stop, pausa, eccetera), la durata di visione del contenuto”.

Se a qualcuno tutto questo fa venire in mente 1984 di Orwell, non è il solo, ma ci sono differenze importanti: nella realtà siamo noi a pagare per farci mettere in casa il teleschermo che ci cataloga, ci scheda e ci timbra, e la sorveglianza non è imposta da un governo totalitario, ma viene spinta di soppiatto dai social network e dalle agenzie pubblicitarie. E noi la abbracciamo felici. Neppure Orwell era riuscito a immaginare un futuro così.

Soluzioni? Ce ne sono poche, per ora: non comperare una “smart TV” ma un televisore normale; comperarla ma non collegarla a Internet o filtrarne la connessione e perdere così la maggior parte delle sue funzioni; oppure andare nelle impostazioni della TV e rifiutare di attivare il riconoscimento facciale e vocale. Più in generale, è opportuno far conoscere l’esistenza del problema.

Aggiornamento (2015/02/20): Samsung ha dichiarato che cambierà la formulazione del documento sulla privacy per chiarire meglio cosa viene ascoltato, registrato e trasmesso; inoltre ha indicato che i “terzi” ai quali invia i dati acquisiti sono in questo momento la società Nuance Communications. Al momento, tuttavia, la formulazione pubblicata qui e qui è invariata.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

L’Internet delle cose è fatta di cose troppo vulnerabili

L’espressione un po’ modaiola Internet delle cose indica la tendenza odierna a collegare a Internet qualunque cosa: non soltanto i classici computer, tablet, telefonini, ma anche altri dispositivi di ogni genere, come televisori, frigoriferi, tostapane, sensori antifurto e antincendio, e altro ancora. Se non è connesso, non è cool.

L’idea in sé non è malvagia: è la sua realizzazione pratica che lascia molto a desiderare. I dispositivi che vengono connessi a Internet, infatti, sono troppo spesso dei colabrodo in termini di sicurezza. Connetterli significa che un’aggressione, invece di fare dei danni ai nostri dati, può fare dei danni alle nostre cose materiali. Immaginate, per esempio, un sensore di fumo che viene disattivato da un attacco informatico, o una webcam antifurto che diventa uno strumento per spiare in casa perché la sua password è scavalcabile.

Ci sono due problemi di fondo. Il primo è che chi produce il software di questi oggetti non ha l’abitudine di pensare alla sicurezza, come invece ce l’hanno i produttori di software per computer, che a furia di prendere bastonate e collezionare figuracce e cause legali si sono resi conto che la sicurezza non è un optional. Il secondo è che queste “cose” hanno quindi bisogno di correzioni e aggiornamenti del proprio software esattamente come i normali computer, ma non siamo abituati a pensare che una lampadina o una lavatrice debbano essere aggiornati e quindi spesso i dispositivi restano vulnerabili anche dopo che il produttore ha realizzato l’aggiornamento, semplicemente perché gli utenti non sanno di dover cercare del software più recente.

Alla carrellata di “cose” vulnerabili si aggiunge ora il termostato “intelligente” (si fa per dire) Heatmiser, che si collega alla rete Wi-Fi domestica e che secondo il ricercatore di sicurezza Andrew Tierney è pieno di falle di sicurezza. Una fra tutte: l’accesso via Internet è protetto (si fa sempre per dire) da un PIN a quattro cifre e non ci sono limitazioni al numero di tentativi di immetterlo, per cui in un’ora e mezza si possono far passare tutti i PIN possibili fino a trovare quello giusto. Ma in realtà non serve tentare d’indovinare questa password, perché basa visitare l’indirizzo IP del termostato con la stringa http://[indirizzoip]/left.htm. Il motore di ricerca Shodan trova migliaia di questi termostati che sono potenzialmente manipolabili da chiunque se non vengono aggiornati.

Non è l’unico esempio, purtroppo: oltre alle “smart TV” ficcanaso e aggredibili di LG, Samsung e Philips ci sono anche i telefoni Cisco vulnerabili e le stampanti HP alle quali basta far stampare un documento appositamente confezionato per prenderne il comando e farsi mandare via Internet copia di tutto quello che viene stampato.

E se a qualcuno venisse il dubbio che queste vulnerabilità non vengano sfruttate in concreto, Akamai segnala l’esistenza di malware concepito appositamente per infettare i dispositivi dell’Internet delle Cose.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Attenzione alle telecamere Trendnet, password scavalcabile

Questo articolo era stato pubblicato
inizialmente il 2012/02/10 sul sito della Rete Tre della
Radiotelevisione Svizzera, dove attualmente non è più disponibile.
Viene ripubblicato qui per mantenerlo a disposizione per la
consultazione.

È davvero inquietante scoprire che basta digitare un indirizzo IP e una specifica sequenza di caratteri per scavalcare la password di protezione delle telecamere di sorveglianza via Internet, specificamente quelle della Trendnet. In Rete circolano elenchi di questi indirizzi, che permettono di guardare nelle case e negli uffici di chi ha acquistato e installato queste telecamere. Si vedono camere da letto, salotti, uffici, sale computer e tante, tante culle, come ha notato anche Wired.

Con poca fatica, inoltre, si riesce anche a localizzare il luogo in cui si trova la telecamera. A Zurigo c’è una famiglia che ha collocato una telecamera della Trendnet sul lettino del neonato per tenerlo d’occhio. Chissà se la famiglia sa che l’immagine del figlio è visibile in diretta a chiunque.

La Trendnet ha pubblicato un avviso che fornisce tutti i dettagli dei modelli vulnerabili e un aggiornamento del software per le proprie telecamere che corregge la falla di sicurezza, ma il vero problema è che è quasi impossibile avvisare i proprietari di questi apparecchi, che restano quindi esposti ai ficcanaso di tutto il pianeta.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Scandagliare tutta Internet? Bastano poche ore

Scandagliare tutta Internet? Bastano poche ore

Da qualche tempo c’è una frenesia commerciale intorno alla cosiddetta Internet delle cose: l’idea di connettere alla Rete non più soltanto computer, tablet e telefonini, ma anche dispositivi di altro genere, come televisori, lavatrici, sensori di fumo, sistemi di sorveglianza e telecontrollo. Spesso, però, questi dispositivi non hanno le dotazioni di sicurezza necessarie contro le intrusioni.

Shodan è un motore di ricerca molto particolare dedicato a questi dispositivi che permette di verificare se i dispositivi (proprio o altrui) sono vulnerabili o perlomeno accessibili. I risultati non sono incoraggianti: non solo ci sono moltissimi dispositivi accessibili e “protetti” (si fa per dire) dalla password predefinita (tipicamente admin:admin), ma con le risorse di Shodan oggi è possibile esplorare tutta Internet in poche ore alla ricerca di questi dispositivi. Diversamente da quanto avveniva in passato, oggi non si può più fare affidamento sulla speranza di non essere trovati.

John Matherly, fondatore di Shodan, il 2 agosto scorso ha scandagliato in modo innocuo (con un semplice ping) tutti gli indirizzi IP di tutta Internet nel giro di cinque ore. Dai dati raccolti ha generato poi la mappa che vedete qui sopra. I punti rossi indicano la maggiore concentrazione di dispositivi connessi. In altre parole, se volete indicare su una mappa dov’è materialmente Internet, quest’immagine è una buona approssimazione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quanti informatici ci vogliono per cambiare una lampadina “smart” vulnerabile?

Quanti informatici ci vogliono per cambiare una lampadina “smart” vulnerabile?

“Internet delle cose” è lo slogan del momento e rappresenta l’idea che gli oggetti più disparati e impensabili dialoghino tra loro via Internet e senza fili; orologi, bilance televisori, lampadine, allarmi antifumo, defibrillatori, telecamere di sorveglianza. Si stima che entro il 2020 ci saranno oltre 26 miliardi di oggetti con Internet integrata. Sembra un’idea geniale, perché l’interconnessione consente di fornire servizi nuovi e utili e ridurre i costi, ma se non è realizzata con criterio diventa un rischio.

Molte aziende che non hanno esperienza di sicurezza informatica stanno integrando Internet nei propri dispositivi senza le dovute cautele e competenze, e i risultati si vedono: per esempio, è emersa di recente una falla che permetteva a chiunque fosse a portata di Wi-Fi di prendere il controllo delle lampadine “intelligenti” della LIFX.

Queste lampadine LED sono appunto interconnesse via Wi-Fi in modo da poter essere accese e spente tramite uno smartphone abilitato. Ma condividevano le credenziali di accesso alla rete Wi-Fi senza protezione adeguata, per cui era facile rubare queste credenziali semplicemente studiando come erano fatte le lampadine, analizzando il traffico di dati diffuso via Wi-Fi e imitando via computer il segnale di una lampadina “smart”.

Gli effetti di attacchi di questo genere sono notevoli: immaginate un virus che invece di bloccarvi il computer vi lascia al buio un intero edificio o vi assilla facendo accendere a caso le luci nel cuore della notte. Cosa forse peggiore, se le lampadine sono sulla stessa rete Wi-Fi utilizzata dai computer di un’azienda, possono essere usate come punto debole del sistema per captare la password della rete.

I ricercatori della Context Information Security che hanno scoperto la falla hanno agito responsabilmente e hanno allertato la casa produttrice delle lampadine, che ha reso disponibile un aggiornamento di firmware che risolve la falla. Ma resta il problema di informare gli acquirenti e nasce la situazione surreale di dover chiamare un informatico per aggiustare una lampadina.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Smart TV vulnerabili, stavolta è il turno di Philips

Smart TV vulnerabili, stavolta è il turno di Philips

Dopo Samsung e LG, ora tocca a Philips dimostrare che le aziende che producono elettrodomestici da collegare a Internet devono ancora imparare parecchie lezioni di sicurezza informatica e di privacy prima di proporci prodotti che non abbiano vulnerabilità imbarazzanti.

La società di sicurezza ReVuln ha infatti pubblicato un video nel quale mostra un errore fondamentale dei modelli 2013 delle cosiddette TV “smart” della Philips: la password del loro servizio WiFi, denominato Miracast, è fissa e non modificabile. Già questo è un errore da assoluti dilettanti, ma c’è di più: la password è Miracast.

In pratica, segnala ReVuln, chiunque sia a portata del ricevitore WiFi del televisore può collegarsi all’apparecchio e accedere ai file di sistema e di configurazione, leggere i file presenti sui dispositivi USB collegati al televisore, prendere il controllo dell’apparecchio e mostrare sul suo schermo qualunque immagine o video e rubare i cookie del browser del televisore. La TV sarà anche smart, ma non so se la stessa cosa si può dire per i suoi progettisti in fatto di sicurezza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aiuto, c’è un virus informatico nel mio... frigorifero?

Aiuto, c’è un virus informatico nel mio… frigorifero?

Si parla molto del 2014 come l’anno dell’Internet delle Cose, ossia dell’anno che vedrà connettersi alla Rete un gran numero di dispositivi non strettamente informatici: lavatrici, sensori domestici, antifurto, televisori, fornelli da cucina, media center, frigoriferi, automobili e via dicendo. Staremo a vedere, ma è indubbio che se si corre verso l’interconnessione senza pensare alla sicurezza c’è il rischio molto concreto di combinare disastri.

Non ci vuole molta competenza tecnica, infatti, per rendersi conto che un attacco informatico a un fornello da cucina o a un impianto di riscaldamento potrebbe causare danni fisici irreparabili. E sabotare via Bluetooth o Wifi i freni di un’auto è un attacco che non ha bisogno di spiegazioni. Il problema, oltretutto, è che molte delle aziende che promuovono questi prodotti interconnessi non hanno grande esperienza di sicurezza informatica e quindi non sanno introdurre le protezioni necessarie (vedi i disastri dimostrativi delle TV Samsung o LG, delle telecamere di sorveglianza Trendnet o di certe auto).

In questo senso ha generato molto clamore la notizia di un recente attacco informatico basato su mail di phishing e spam inviate non soltanto da computer ma anche da dispositivi “smart”, frigoriferi compresi: un quarto dei circa 750.000 messaggi di mail inviati nel corso di questo attacco ha usato l’Internet delle Cose. In particolare, l’accenno ai frigoriferi ha acceso l’attenzione dei media (per esempio Fox, BBC, Zeus News, La Stampa).

Ma leggendo con attenzione la notizia, diffusa in un comunicato stampa da una società specializzata in sicurezza informatica, emerge che i “frigoriferi” (al plurale) sono, nel testo originale del comunicato, ben… “almeno uno”. Non è quel che si dice un attacco di massa. Del quale, fra l’altro, non viene specificata la marca o il modello, in modo da consentire agli utenti di identificarlo e scollegarlo. Viene insomma ad alcuni il dubbio che il riferimento al frigorifero sia stato inserito nel comunicato stampa per suscitare clamore e che usare un frigorifero “smart” come fulcro di un attacco sia poco efficiente (probabilmente si è trattato di un mero esperimento o proof of concept).

Non è il caso di farsi prendere dal panico e temere che il vostro frigidaire stia spammando o disseminando virus (perlomeno virus informatici), insomma, ma resta valido il principio che ogni oggetto collegato alla Rete è un punto di vulnerabilità in più, per cui è il caso di valutare attentamente se è davvero utile o necessario collegare a Internet un elettrodomestico come un frigorifero o un tostapane.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
I temi del Disinformatico radiofonico di oggi

I temi del Disinformatico radiofonico di oggi

Come consueto, oggi ho condotto una puntata del Disinformatico radiofonico per la Rete Tre della Radiotelevisione Svizzera (podcast disponibile qui). Questi sono i temi che ho trattato.

Antibufala: squalo inghiotte uomo, uomo l’accoltella da dentro

Circola un po’ ovunque in Internet una foto impressionante: un uomo, inghiottito vivo da uno squalo, riesce a far uscire un braccio attraverso le branchie della creatura e la accoltella in mezzo agli occhi in un disperato tentativo di salvarsi.

C’è chi sospetta che si tratti di un fotomontaggio e chi crede che sia reale, e una volta tanto ha ragione la seconda scuola di pensiero. Infatti la foto non è stata ritoccata: l’uomo è davvero dentro lo squalo. Ma non tutto è come sembra. Lo spiegone è qui.

Nufologia: avvistata astronave degli Anunnaki in una foto astronomica

Un lettore/ascoltatore, smailliw87, ha segnalato questa foto che viene disseminata su Facebook presentandola come “l’immagine più nitida di un’astronave Anunnaki” accanto al nostro Sole.

La prima domanda che viene spontanea, perlomeno a uno scettico allegro, è come facciano a sapere che è proprio un’astronave degli Anunnaki (delle divinità dei popoli mesopotamici antichi, per esempio i Sumeri, interpretati come visitatori extraterrestri da alcuni ufologi) e non, per esempio, dei Grigi o dei Rettiliani o dei Vogon, visto che non ha segni identificativi. La risposta è in questo articolo.

Google Chrome rivela facilmente le password salvate

Se usate Google Chrome per navigare e per custodire le password dei siti che visitate, fate attenzione a non lasciarlo aperto quando vi allontanate dal computer: spiffera le vostre password un po’ troppo facilmente.

Il problema è stato messo in evidenza da un blogger, Elliott Kember: basta andare in Chrome e scegliere Preferenze – Mostra impostazioni avanzate – Gestisci password salvate per trovarsi davanti una finestra che elenca i siti e le rispettive password salvate in Chrome. Se volete qualche dritta su come rimediare a questo problema, date un’occhiata a questo mio articolo.

Adesso è ufficiale, l’Area 51 esiste, ma che c’entrano gli U2?

Credit: CIA

È uno dei miti di Internet e della cultura del cospirazionismo: l’Area 51, la base segreta nel Nevada dove, secondo alcuni ufologi, gli Stati Uniti custodirebbero addirittura veicoli extraterrestri.

Ieri è stata rilasciata una collezione di documenti ufficiali della CIA, intitolata The Secret History of the U-2 (Storia segreta degli U-2), nella quale viene citata formalmente l’Area 51. A quanto risulta, si tratta del primo documento ufficiale che riconosce l’esistenza della base facendone apertamente il nome e raccontandone anche la storia. Dettagli qui.

Sicurezza informatica surreale: anche le lampadine sono sotto attacco

I futurologi dicono che stiamo andando verso “l’Internet delle cose”: una Rete alla quale sono connessi non solo computer, tablet e smartphone, ma dispositivi di ogni genere, dai televisori ai sistemi di sorveglianza e di gestione a distanza dell’ambiente di casa.

Il problema di questa visione magica è che sta portando molte società che producono questi dispositivi da tempo a entrare nel campo della sicurezza informatica, nella quale hanno poca esperienza. Il risultato è che molti di questi dispositivi comandabili a distanza hanno delle falle informatiche che permettono a malintenzionati di prenderne il controllo.

Per esempio, il ricercatore informatico Nitesh Dhanjani ha segnalato che il sistema d’illuminazione a LED Hue della Philips, comandabile via computer e smartphone, è molto vulnerabile ad attacchi informatici che possono permettere a un aggressore per esempio di spegnere di colpo tutte le luci di un’abitazione, di un ufficio o di un ospedale. V’intriga la cosa? Maggiori info qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.