האם אתם בטוחים ליד הטלוויזיה החכמה שלכם?

לקראת השקת מוצר האבטחה שלנו עבור טלוויזיות חכמות בכנס המובייל העולמי בברצלונה, חיברנו מאמר הסוקר את האיומים האפשריים של טלוויזיות חכמות והמחקרים שהתבצעו במהלך השנים
הזמנים בהם כל מה שטלוויזיה אפשרה לנו זה לצפות בערוצי טלוויזיה "רגילים" כבר עברו חלפו להם. כיום, טלוויזיות מיושנות אלו מוחלפות בטלוויזיות "חכמות", בהן ניתן לצפות בסטרימינג (צפייה ישירה) של קטעי וידאו ושמע, לשחק משחקים, לגלוש באינטרנט ולהוריד אפליקציות – כל זאת הודות לחיבור שלהן לאינטרנט.

התפתחות זו היא חלק ממגמה רחבה יותר בה מחברים מכשירי חשמל ביתיים ועצמים אחרים לרשת האינטרנט, מה שיוצר כמות הולכת וגדלה של התקני אינטרנט-של-הדברים (Internet of Things, IoT).

המגמה הזאת ללא ספק מקלה על החיים שלנו, עם זאת, החיבור לאינטרנט של הטלוויזיות החכמות ומצב האבטחה הבעייתי במרחב ה-IoT באופן כללי פותח פרצה לאינספור איומי אבטחה ומסכנת את הפרטיות שלנו.

מחקרים מראים שקיים מגוון רחב של מתקפות נגד טלוויזיות חכמות ושאותן המתקפות הן אפשריות ופרקטיות. ברוב המקרים אין צורך בגישה פיזית למכשיר או באינטראקציה עם המשתמש. בנוסף, הוכח מספר פעמים כי ברגע שבו פורצים לטלוויזיה החכמה, מכשיר זה יכול לשמש כ"מקפצה" למתקפות המופנות כלפי מכשירים אחרים באותה הרשת, מה שעשוי לפגוע במידע האישי של המשתמש המאוחסן על מכשירים הרבה יותר "מעניינים", כמו מחשבים אישיים וניידים.

"האח הגדול" צופה בכם

בטוח שאתם נהנים מצפייה בטלוויזיה החכמה שלכם, אך סביר להניח שאתם לא רוצים שהיא תצפה בכם בחזרה. למעשה, זה בדיוק מה שהטלוויזיות האלה יכולות לעשות – "לצפות בצופים שלהן".

בשנת 2013 חוקרים הוכיחו שבאמצעות ניצול פרצות אבטחה אפשר להדליק מרחוק את המצלמה והמיקרופון המובנים בטלוויזיות של סמסונג. בנוסף לכך שהפכו את הטלוויזיה למכשיר שרואה ושומע הכול, הם יכלו להשתלט על אפליקציות מובנות של רשתות חברתיות, לפרסם נתונים בשמם של המשתמשים ולגשת לקבצים שלהם. חוקר אחר הדגים מתקפה המאפשרת לו להחדיר סיפורי חדשות מזויפים לדפדפן של טלוויזיה חכמה.

גם נוזקות יכולות למצוא את דרכן לטלוויזיות שלכם ולגרום להן לעבוד באיטיות. בכיוון ההתקפה הזה, שהוכח גם הוא כפרקטי, התוקפים יכלו ליצור אפליקציה לגיטימית ולאחר מכן לשחרר עדכון שיהפוך אותה לנוזקה. העדכון ירד באופן אוטומטי לטלוויזיות חכמות המצוידות במיקרופון.

בשנת 2014 התגלתה פרצה בתקן של טלוויזיות אינטראקטיביות הידוע בשם "HbbTV". החוקרים גילו כי ניתן להטמין את קוד התקיפה הזה בשידורים זדוניים וכך לפגוע באלפי טלוויזיות חכמות במכה אחת, מה שיאפשר לתוקפים לפרוץ לטלוויזיה ולמכשירים אחרים ברשת, לגנוב סיסמאות גישה, להציג פרסומות לא-רצויות ואפילו לנטר את התעבורה ברשתות אלחוטיות לא-מאובטחות. בנוסף, התגלה כי אין צורך בתכסיסי פריצה מיוחדים בשימוש בצורת תקיפה זו.

בעיות אחרות בתקן HbbTV העלו אותו לכותרות פעם נוספת ב-2017. חוקר אבטחה הציג טכניקה בה הוא שלח אות אלחוטי זדוני כדי לפרוץ לטלוויזיות עם חיבור לאינטרנט. לאחר שהחוקר השתלט על הטלוויזיה, ניתן היה להשתמש בה למגוון עצום של פעולות זדוניות, ביניהן ריגול אחר המשתמש באמצעות המיקרופון והמצלמה של הטלוויזיה ושיטוט בתוך הרשת המקומית. על פי הערכות, 9 מתוך 10 טלוויזיות חכמות שנמכרו בשנים האחרונות היו חשופות לפריצה זו. כמו בדוגמה הקודמת, גם כאן המשתמש לא היה מגלה סימנים חיצוניים לכך שמתרחש משהו חריג.

בפברואר 2018, עמותת Consumer Reports האמריקאית שחררה תוצאות של מבחני פריצה לטלוויזיות המחוברות לאינטרנט מחמישה מותגים שונים, כל אחת מהן משתמשת בפלטפורמת טלוויזיה חכמה אחרת. "האקרים יכולים להשתלט על מיליוני טלוויזיות חכמות באמצעות ניצול פרצות אבטחה פשוטות", אמר הארגון. נמצא כי המכשירים היו חשופים לפריצות לא-מתוחכמות שיאפשרו לתוקף להחליף ערוצים, להעלות את עוצמת השמע לרמה מחרישת אוזניים, להתקין אפליקציות חדשות ולנתק את המכשיר מהרשת האלחוטית – כל זה, כמובן, מרחוק.

בנוסף, הסקירה גילתה שמשתמשים מחויבים להסכים לכך שייאסף מידע מפורט מאוד אודות הרגלי הצפייה שלהם, אלא אם כן הם מוכנים לוותר על הפיצ'רים החכמים של הטלוויזיה החדשה שלהם. במשך השנים נחשפו כמה יצרנים שהיו מעורבים באיסוף של נתונים אודות הרגלי הצפייה של צרכנים וסחרו בהם ללא הסכמה.

הטלוויזיה מאזינה לכם

חששות בנוגע להשלכותיהן של הטלוויזיות החכמות על הפרטיות עלו גם בשנת 2015, כשפונקציית "זיהוי הקול" של סמסונג, שמטרתה להקל על המשתמש באמצעות מתן פקודות קוליות לטלוויזיה, הוצגה לקהל הרחב. החברה הזהירה את לקוחותיה המשתמשים בזיהוי הקולי בטלוויזיות החכמות שלהן ששיחות פרטיות יהוו חלק מהמידע הנאסף ומשותף עם גופים אחרים. בנוסף, לא בכל המקרים המידע שנאסף באופן לגיטימי הועבר באופן מוצפן, מה שעלול לאפשר לפורצים לצותת לשיחות פרטיות.

כאמור, הדיון בנושא הזה עוד לא הסתיים, עם הזמן נוצרים איומים נוספים על הפרטיות והאבטחה בזמן שאנשים רבים ממשיכים לרכוש טלוויזיות חכמות בקצב הולך וגובר. על פי אחת התחזיות, עד סוף 2018 יהיו יותר מ-750 מיליון טלוויזיות חכמות.

"הטלוויזיות החכמות נמצאות במצב דומה למצב שבו היו הסמארטפונים לפני 8 שנים – ריבוי של מערכות הפעלה שהיצרניות מפתחות בעצמן" מסביר אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET. "הן גם עוברות הליך זהה, בו מערכות ההפעלה המובילות "מחסלות" בהדרגה את מערכות ההפעלה של היצרניות, בעיקר Android TV שהיא מערכת ההפעלה הנפוצה ביותר גם בסמארטפונים."

"ככל שהשוק מתרכז ל 1-2 מערכות הפעלה מובילות, הדבר מקל על האקרים ועבריינים לפתח נוזקות והתקפות שיפגעו במספר מקסימלי של קורבנות פוטנציאליים. גם פיתוח של אפליקציות זדוניות עבור Android TV הוא יחסית פשוט לעומת פיתוח אפליקציה זדונית עבור מערכת הפעלה נישתית של אחת היצרניות. זאת בשילוב עם הכניסה של מערכות זיהוי קולי ומצלמות בטלוויזיות חכמות, מאפשר מגוון רחב של התקפות שגם יכולות לאפשר לתוקפים לרגל אחרי הקורבנות שלהם, ולא רק לגנוב מידע או למנוע גישה לטלוויזיה."

טלוויזיות חכמות מאפשרות לנו להשתמש בהן למטרות הקשורות בדרך כלל למחשבים. למעשה, זו בדיוק התכלית של הטלוויזיות האלה – "מחשבים" המחוברים לאינטרנט, בדומה לטלפונים ניידים. אין ספק שאם נחשוב עליהם כעל מחשבים ונתייחס אליהם ככאלה מצבנו ישתפר.