あなたが見ているスマートTVに、あなたも見られている

IoTセキュリティニュース

Picture1.png

「テレビ視聴」という言葉は、テレビがスマート化されると二つの意味を持つようになりました。あなたがテレビを見ているだけではありません。あなたのテレビも見ているのです。非営利団体コンシューマー・レポートの評価によると、スマートTVは、程度の違いはありますが、あなたのプライバシーへの入口を開け、メーカーやそのパートナーに画面上で何が実行されているか、情報を提供してしまいます。

同組織の報告によると、スマートTVの設定時にやみくもに使用条件に同意すると、あなたが見たもの、居場所、起動したアプリ、使用したストリーミングサービスなど、幅広いデータを収集されるという結果につながります。これらのデータの一部は、おすすめの表示やターゲット広告に使用されていますが、すべての情報が安全なルートをとって通信されているわけではありません。

主な原因は、自動コンテンツ認識(ACR)技術が、ケーブル、地上波放送、ストリーミングサービス、DVD、Blue-Rayディスクなど、テレビで再生するすべてのものに関する視聴情報を収集して渡すことである、とコンシューマー・レポートは指摘しています。ACRをオフにすることはできますが、見たいもののおすすめ情報を受け取ることができなくなり、他のデータの収集も停止されません。

「ACRは、あなたが見たいと思う可能性がある他の番組を、テレビがおすすめすることに役立てられています。しかし、それはあなたとあなたの家族をターゲットにした広告や、他のマーケティング目的にも使用されます。また、後でこのデータを簡単に確認または削除することはできません」とコンシューマー・レポートは述べています。

あなたのプライバシーを守るための報告書の結論は、不本意なものです。インターネットからデバイスを切り離すことによって「スマート」機能を取り除きます。これをあまりにも極端だと考える人には、プライバシーへの影響を軽減する代替手段があります。ACRをオフにするのではなく、一部のプライバシーポリシーにのみ同意する方法です。残念ながら、これは複数のサードパーティのサービスを統合していて、各プロバイダが独自の条件を設定しているテレビでのみ可能です。

コンシューマー・レポートはサムスン、LG、TCL、ソニー、ビジオの中で売上げ上位のテレビモデルをテストし、攻撃者が遠隔からデバイスの機能を制御できてしまう、2つのセキュリティ問題を明らかにしました。それによると、TCL、ハイセンス、日立、Insignia、フィリップス、RCA、シャープのテレビに使われている、サムスンやRoku TVのプラットフォームに脆弱性があるということです。

この問題は、アプリケーションプログラミングインターフェイス(API)にあります。これは、ソフトウェアコンポーネント間の相互連携を管理し、TVプラットフォームを遠隔管理するための一連のメソッドです。RokuのAPIはセキュリティ保護されておらず、サムスンのAPIは不正な認証メカニズムが使われている、と報告されています。これを利用し、攻撃者はテレビの所有者に、テレビと同じネットワーク上のデバイスから悪質なコードを実行させることができる可能性があります。

いずれの場合も、関連するリスクは、チャンネルの変更、オンラインビデオプラットフォームからのコンテンツの再生、音量を上げる、またはテレビの設定を操作するといった、いたずらに限定されます。このようにデバイスを悪用しても、データを引き出すことはできません。

画像著作権:MICHAEL A. SMITH

翻訳元記事:Your Smart TV Is Watching You Watching It