[lacnog] FW: Un informático en el lado del mal: Tú NO miras la SmartTV, ella te mira a tí

rodolfo.alvarez rodolfo.alvarez en fibertel.com.ar
Vie Nov 29 21:29:02 BRST 2013


Nota en Blog  acerca de la internet de las cosas y televisores
“inteligentes”?

Saludos 

   Rodolfo 

Ingeniero de RED

IFX Networks

www.ifxcorp.com

 

http://www.elladodelmal.com/2013/11/tu-no-miras-la-tv-ella-te-mira-ti.html?u
tm_source=twitterfeed
<http://www.elladodelmal.com/2013/11/tu-no-miras-la-tv-ella-te-mira-ti.html?
utm_source=twitterfeed&utm_medium=twitter&utm_campaign=Feed%3A+ElLadoDelMal+
%28Un+inform%C3%A1tico+en+el+lado+del+mal%29>
&utm_medium=twitter&utm_campaign=Feed%3A+ElLadoDelMal+%28Un+inform%C3%A1tico
+en+el+lado+del+mal%29


Tú NO miras la SmartTV, ella te mira a tí


Ayer leía una interesante nota relacionada con los SmartTV de LG, donde un
consultor del Reino Unido llamado
<http://doctorbeet.blogspot.co.uk/2013/11/lg-smart-tvs-logging-usb-filenames
-and.html> Jason Huntley ( <http://twitter.com/doctorBeet> @DoctorBeet)
comentaba que había descubierto que su televisor registraba y enviaba los
datos de los canales que estaba mirando a la empresa LG Electronics, incluso
luego de haber desactivado la función “Collection of Watching Info”. 

Es importante recordar que durante el 2012, LG lanzó al mercado una
plataforma dirigida a los usuarios de sus SmartTV (
<http://www.lgsmartad.com/> LG Smart AD, que casualmente hoy se encuentra
sin servicio) que les permitía a los anunciantes conocer detalles mas
precisos de la audiencia activa en los distintos programas de televisión, y
así seleccionar en qué programa colocar sus anuncios comerciales basándose
en información como por ejemplo: Edad, Sexo, Ubicación Geográfica, etcétera,
etcétera





 
<http://2.bp.blogspot.com/-Wi9mECfM8v4/UpUMdhkiVtI/AAAAAAAASNw/WM6k883TfwM/s
1600/LG_1.png> 


Figura 1: Imagen del sitio LG Smart AD sin servicio hoy


Como el sitio actualmente se encuentra en mantenimiento, no es posible ver
mucha información al respecto, sin embargo si utilizamos el querido sitio
<http://archive.org/> archive.org y buscando por
<http://lgsmartad.com/main/main.lge> http://lgsmartad.com/main/main.lge
podemos encontrar estas dos definiciones:

 


 
<http://3.bp.blogspot.com/-UWnfX6UmbR4/UpUNBZVkHPI/AAAAAAAASN8/NpA5ebyrxdU/s
1600/LG_2.png> 


Figura 2: Imágenes tomadas de
<https://web.archive.org/web/20130809105525/http:/lgsmartad.com/main/main.lg
e>
https://web.archive.org/web/20130809105525/http://lgsmartad.com/main/main.lg
e

 

Por lo cual el objetivo de la plataforma es bien claro y nadie puede
negarlo, aunque estaría interesante que la función de desactivar el envío de
información, funcionara también... Básicamente el esquema es sencillo, el
sistema LG Smart AD envía los datos a través de un mensaje Post a los
servidores de la empresa cada vez que alguien cambia de canal, dándole a los
anunciantes y a las empresas encuestadoras de rating, información al
instante sobre lo que sucede con cada usuario (conocido en el mundo de la
publicidad televisiva y radial como el “minuto a minuto”). 

Sin embargo, lo que más llama la atención es en realidad, que además de esa
información, también es capaz de enviar datos como por ejemplo los nombres
de los archivos que son reproducidos por medio de un USB externo conectado
al TV, asociados al identificador único del televisor. Como es de esperarse,
en texto plano, tal como se puede ver en la captura hecha por el propio
DoctorBeet en su post original: 


 
<http://3.bp.blogspot.com/-610ySRz6yeQ/UpUN2V7yMyI/AAAAAAAASOE/nOgNpdBybEM/s
1600/LG_3.png> 


Figura 3: Imagen de la captura realizada por el investigador donde se
observa el ID del SmarTV


Como parte de su investigación, DoctorBeet creó un archivo de video con un
nombre llamativo para ver si el mismo podía identificarse con un analizador
de tráfico, y el resultado fue el esperado. Si tu red
<http://www.elladodelmal.com/2013/05/asegurar-tu-red-wifi-para-que-no-te.htm
l> WiFi es insegura, todo el mundo podrá ver qué estás viendo en tu SmartTV.


 
<http://3.bp.blogspot.com/-weVQq0Wy640/UpUOV8VPJnI/AAAAAAAASOM/7eUJrlaTgNg/s
1600/LG_4.png> 


Figura 4: Imagen de la captura realizada por el investigador donde se
observa el nombre del archivo creado por él para la prueba


Aquellos que trabajan en tareas de investigación, este tipo de noticias les
resulta más que interesante porque en lo primero que piensan es en la
posibilidad de utilizar ingeniería social para identificar por medio de un
archivo determinado reproducido en un SmartTV, quien lo compró o en que casa
lo están mirando a partir de los datos de la conexión IP (no todo el mundo
usa una VPN para conectar su TV a Internet).

Claro está que desde otro punto de vista, y desde la presunción de “todos
somos inocentes hasta que se demuestre lo contrario” utilizada en la
legislación de varios países, la invasión a la privacidad es un detalle
mucho más que sensible a considerar. 

Toda esta noticia puede no ser sorprendente para muchos, y definitivamente
esta claro que normalmente, aquellos que somos más paranoicos con todo,
tengamos nuestras webcams de las notebooks, de las PC y hasta de SmartTV
tapadas. Sin embargo, muchas personas ven como poco probable (o de película)
un ataque realizado a través de una TV, o basado en el uso de ella como
equipo zombie, o tal vez como pivote, sobre todo porque la gran mayoría de
los ataques publicados hasta ahora contra los SmartTV, tienen que ver con
noticias sobre denegaciones de servicio. Es así, que como pregunta de
reflexión final para todos aquellos a los que ésta noticia no les sorprende:

¿Cuántas personas usan un USB exclusivo para reproducir contenido multimedia
en sus dispositivos, y cuántas usan el mismo USB que utilizan en sus
trabajos para transportar información confidencial?

Saludos a todos. 

Claudio B. Caracciolo






------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20131129/2d8be8c5/attachment.html>


Más información sobre la lista de distribución LACNOG