Smart TV Samsung, la voce non viene criptata

Nonostante le rassicurazioni di Samsung, un ricercatore di sicurezza ha scoperto che le Smart TV non usano la crittografia per inviare la voce dell’utente al servizio di riconoscimento vocale. Il produttore coreano ha promesso di rilasciare un nuovo firmware che risolve questo grave problema di sicurezza.

La funzionalità di Voice Recognition permette di usare comandi vocali per eseguire semplici operazioni, come il cambio canale, oppure task più complessi, come la ricerca di un determinato programma televisivo. Nel primo caso, l’utente usa il microfono integrato nella Smart TV e la sua voce non viene trasmessa su Internet. Nel secondo caso, invece, l’utente usa il microfono integrato nel telecomando e la sua voce viene inviata al servizio di riconoscimento vocale fornito da Nuance Communications. Samsung aveva affermato che le sue Smart TV rispettano gli standard di sicurezza e utilizzano la crittografia per impedire un uso non autorizzato delle informazioni personali.

Un ricercatore di sicurezza ha effettuato un test, intercettando il traffico dati tra la Smart TV UE46ES8000 e Internet, scoprendo che la voce viene inviata ad un server remoto sulla porta 443, usata solitamente per le connessioni HTTPS. In realtà, i dati sono trasmessi in chiaro. Il testo, un mix tra XML e codice binario, contiene il comando vocale, la versione del sistema operativo e l’indirizzo MAC della Smart TV. Anche la risposta del server non è criptata. Probabilmente, Samsung usa la porta 443 perché non viene bloccata dai firewall.

Il produttore coreano ha dichiarato che gli ultimi modelli usano la crittografia, mentre per i vecchi modelli verrà presto distribuito un nuovo firmware. Sebbene sia poco probabile un attacco man-in-the-middle, è consigliabile scollegare le Smart TV dalla rete WiFi, in attesa della patch.