De stemopdrachten die slimme televisies van Samsung opslaan en naar een derde partij doorsturen worden onversleuteld verstuurd, zo heeft een beveiligingsonderzoeker ontdekt. Onlangs ontstond er grote ophef over de stemherkenning van de Samsung SmartTV, waarmee consumenten via stemopdrachten de televisie kunnen besturen.
Beveiligingsonderzoeker David Lodge besloot het verkeer dat van de televisie afkomstig is te onderzoeken. Hij zag daarbij een verbinding over poort 443, dat normaliter HTTPS aangeeft. Vervolgens besloot Lodge de inhoud van de datastroom te bekijken en zag dat het helemaal niet om versleutelde data ging. Het was zelfs geen HTTP-data, maar een combinatie van XML en een binair datapakket.
"De gluiperds, ze gebruiken 443/TCP om de data over te tunnelen, waarschijnlijk omdat veel standaardfirewallconfiguraties verkeer naar poort 80 en 443 buiten het netwerk toestaan", aldus de onderzoeker.
Verder bleek dat er allerlei informatie over de tv wordt verstuurd, zoals MAC-adres en de versie van het besturingssysteem. Ook kon het stemcommando worden gezien dat hij gaf. Wel stelt Lodge dat de televisie niet naar gebruikers luistert, tenzij dit via het commando wordt geactiveerd. Iets wat echter met elke volgende firmware-update kan veranderen, waardoor continu meeluisteren welk mogelijk zou worden, zo waarschuwt hij. Lodge roept Samsung dan ook op om in ieder geval SSL te gebruiken.
Bron: Security.nl