«Умные» телевизоры LG «сливают» списки пользовательских файлов и просматриваемые телеканалы

Dmitry Kornev
  • 20 ноября 2013
  • 15k

Довольно занятная информация появилась на одном из зарубежных блогов. Автор пишет, что его телевизор LG следит за ним, приводя в качестве доказательств логи, а также письмо из переписки с представителями компании LG.

Реклама в диалоге LG SmartTV

Далее вольный перевод с некоторыми комментариями.

Подозрения появились из-за рекламы, которую показывал новый телевизор LG SmartTV в диалоге с «умными» функциями. Автор заинтересовался. После некоторых поисков он наткнулся на видео для корпоративных заказчиков, где рассказывается, что LG практикует сбор данных для потенциальных рекламодателей. Видео длинное, ключевые моменты:

  • LG Smart Ad анализирует поведение пользователей — любимые телепередачи, поведение онлайн, поисковые фразы и другую информацию. Все это делается для того, чтобы показывать таргетированную рекламу. Например, рекламировать продукты, которые обязательно заинтересуют мужчин, или косметику и парфюмерию для женщин.
  • Дополнительно LG Smart Ad может составлять отчеты об эффективности проводимых рекламных кампаний, что не может предложить традиционная реклама на телевидении.

В настройках телевизора есть опция «Collection of watching info», которая отвечает за сбор информации о просматриваемом контенте. По умолчанию она включена. Чтобы ее отключить пользователю придется хорошенько порыться в меню, прокрутив список опций до самого низа. В отличие от других, эта опция не имеет всплывающей подсказки, соответственно, рядовой пользователь вряд ли поймет ее суть и скорее всего предпочтет не трогать.

Collection of watching info

На этом автор не остановился. Самое интересное началось, когда он начал анализировать исходящий из телевизора трафик. Выяснилось, что слежка за пользователем ведется вне зависимости от того, включена упомянутая опция или нет.

Пример перехваченного пакета

На приведенном скриншоте можно видеть, что телевизор посылает на сервер LG уникальный идентификатор устройства вместе с названием включенного канала «BBC NEWS» и некоторыми его параметрами. Далее еще один пример перехваченного пакета:

GB.smartshare.lgtvsdp.com POST /ibs/v2.2/service/watchInformation.xml HTTP/1.1
Host: GB.ibis.lgappstv.com
Accept: */*
X-Device-Product:NETCAST 4.0
X-Device-Platform:NC4M
X-Device-Model:HE_DTV_NC4M_AFAAABAA
X-Device-Netcast-Platform-Version:0004.0002.0000
X-Device-Country:GB
X-Device-Country-Group:EU
X-Device-ID:2yxQ5kEhf45fjUD35G+E/xdq7xxWE2ghu0j4an9kbGoNcyWaSsoLgyk8JJoMtjRrYRsVS6mHKy/Zdd6nZp+Y+gK6DVqnbQeDqr16YgacdzKU80sCKwOAi1TwIQov/SlB
X-Authentication:YMu3V1dv8m8JD0ghrsmEToxONDI= cookie:JSESSIONID=3BB87277C55EED9489B6E6B2DEA7C9FD.node_sdpibis10; Path=/
Content-Length: 460
Content-Type: application/x-www-form-urlencoded
&chan_name=BBC TWO&device_src_idx=1&dtv_standard_type=2
&broadcast_type=2&device_platform_name=NETCAST 4.0_mtk5398&chan_code=251533454-72E0D0FB0A8A4C70E4E2D829523CA235&external_input_name=Antenna&chan_phy_no=&atsc_chan_maj_no=&atsc_chan_min_no=&chan_src_idx=1&chan_phy_no=&atsc_chan_maj_no=&atsc_chan_min_no=&chan_phy_no=47&atsc_chan_maj_no=2&atsc_chan_min_no=2&chan_src_idx=1&dvb_chan_nw_id=9018&dvb_chan_transf_id=4170&dvb_chan_svc_id=4287&watch_dvc_logging=0

Вся информация отправляется в не зашифрованном виде. Отправление происходит при каждом переключении канала, настройка упомянутой выше опции не имеет значения. Однако, как далее выяснилось, это еще не самое страшное. Дополнительно в передаваемой информации автор заметил имена файлов, которые имелись на подключенном к телевизору внешнем жестком диске USB. Чтобы это продемонстрировать он записал на «флешку» первый попавшийся файл AVI.

Файл записанный для проверки

Такое название файла было задано специально, чтобы было проще его увидеть в логах. Название файла не должно было совпадать с названиями каналов и т.д. Ждать долго не пришлось:

Пример перехваченного пакета

Пакеты с именем файла отправлялись несколько раз. В одном случае название файла отправлялось вместе с каталогом его размещения, в другом случае без. Выявить какую-то закономерность не удалось.

Некоторые сервера LG, куда отправлялась информация, выдавали код ошибки 404. Даже если это правда и в момент разоблачения они не работали, никто не даст гарантий, что завтра все будет также. К тому же, возможно, что такой ответ серверами выдается специально, чтобы сбить столку и избавить себя от обвинений.

Автор был потрясен происходящим, как и его жена. Среди прочей информации были переданы ссылки на файлы видеосъемок их детей на Рождество, которые они смотрели с USB-носителя на днях. Далее последовало обращение к представителям LG с просьбой прокомментировать действия компании. В ответ было получено следующее письмо, которое четко показывает позицию LG.

Доброе утро

Спасибо за ваш e-mail.

Как уже сообщалось в предыдущем письме, мы переадресовали ваши вопросы в центральный офис LG в Великобритании.

К сожалению, вы приняли правила и условия использования телевизора при его покупке, поэтому ваши жалобы необходимо адресовать продавцу. Мы понимаем, что вы чувствуете, вас должны были известить о таком поведении телевизора в точке продажи, и по понятным причинам, LG не может комментировать свои действия.

Приносим свои извинения за предоставленные неудобства, которые могли вам доставить. Если у Вас возникли дополнительные вопросы, пожалуйста, не стесняйтесь обращаться к нам снова.

С наилучшими пожеланиями

Tom
LG Electronics UK Helpdesk
Tel: 0844 847 5454
Fax: 01480 274 000
Email: 
UK: [premium rate number removed] Ireland: 0818 27 6954
Mon-Fri 9am to 8pm Sat 9am-6pm
Sunday 11am - 5pm

Автор даже не стал спрашивать об «сливе» имен файлов с подключенных к телевизору USB-носителей, т.к. не было сомнений, что ответ был бы примерно тем же. Вероятно, в его обращении к представителям LG были вопросы лишь об остальной слежке.

Каким образом можно предотвратить слежку? Несмотря на какие-то там правила, которые обязаны принимать пользователи «умных» телевизоров LG, никто не может заставить их подключать телевизоры к интернет, как и запрещать настраивать фаервол в своем маршрутизаторе. В общем, был составлен небольшой список серверов, которые следует заблокировать, чтобы личная информация на них не могла отправляться.

  • ad.lgappstv.com
  • yumenetworks.com
  • smartclip.net
  • smartclip.com
  • llnwd.net
  • smartshare.lgtvsdp.com
  • ibis.lgappstv.com

Такой способ блокирует слежку и возможно показ рекламы. В то же время, обновления программного обеспечения LG SmartTV не должны блокироваться, т.к. для этого используется другой сервер.

Комментарии