TV e violazioni della privacy: ricerca su 9 canali italiani fa luce sull'HbbTV

28 Settembre 2021 69

Una ricerca effettuata da Sababa Security, in collaborazione con l’Università di Twente e LP Avvocati, ha sollevato numerosi dubbi sul rispetto della privacy legato all'uso della tecnologia HbbTV. Di cosa parliamo esattamente? HbbTV è l'acronimo di Hybrid broadcast broadband TV, un'iniziativa internazionale adottata come standard tramite le specifiche ETSI TS 102 796.

Lo scopo di tale soluzione consiste nella possibilità di abbinare i servizi televisivi con quelli forniti tramite l'accesso alla rete, realizzando così un'offerta ibrida che comprende l'interattività, guide TV avanzate, la possibilità di vedere o rivedere alcuni programmi in streaming, l'aggiunta dei testi durante la visione di video musicali nonché pubblicità mirate sulla base dei contenuti visualizzati dagli utenti.

HbbTV richiede il supporto da parte dell'hardware (cioè del dispositivo usato) e un'apposita applicazione predisposta dall'emittente. La possibilità di accedere ai servizi aggiuntivi viene solitamente indicata su schermo tramite un'icona che informa l'utente della disponibilità di questi contenuti o strumenti. Un'applicazione dei servizi HbbTV è ad esempio Rai 4K, il canale ad altissima risoluzione a cui si può accedere tramite la pressione del tasto rosso sul telecomando quando si segue uno dei canali Rai.

Il collegamento alla rete e l'interattività espongono ovviamente HbbTV a molteplici potenziali criticità ed è proprio su queste che si basa la ricerca. Secondo gli autori l'argomento è stato studiato poco e non è dunque facile reperire informazioni o una documentazione dettagliata sul punto. Per colmare queste lacune si è perciò deciso di procedere con una serie di prove studiate per analizzare il traffico dei dati scambiati durante l'uso di HbbTV e tutte le eventuali criticità in termini di sicurezza e privacy.

A seguire la metodologia applicata e i risultati dei test.

I METODI USATI PER ANALIZZARE IL TRAFFICO DEI DATI
Immagine tratta dallo studio "I still know what you watched last Sunday" di Carlotta Tagliaro

Il campione selezionato per i test rende ancora più interessanti i risultati di questa ricerca. Si parla infatti di nove canali tutti italiani: Rai 1, Canale 5, Spike, RealTime, SportItalia, RDS, RTL, La7 e Radio Kiss Kiss. L'analisi del traffico è stata effettuata con due differenti metodologie:

  1. Esame e cattura del traffico generato tra uno Smart TV e i server per controllare quali domini vengono contattati e cercare i cookie o i dati degli utenti che vengono eventualmente inviati;
  2. Estrazione degli URL contattati dagli Smart TV per lanciare le applicazioni HbbTV, ottenuta replicando un attacco "DVB/DMS-CC hijack" su tutti i nove canali; gli URL vengono aperti tramite un browser Chrome mentre un Trasparent Proxy resta in ascolto.

Il primo metodo è stato eseguito sfruttano uno Smart TV Sharp Aquos LC-32Bi6E con Android 9, uno Smart TV Samsung M5500 e un laptop con Ubuntu 20.04 e Wireshark5 per analizzare il traffico.

Immagine tratta dallo studio "I still know what you watched last Sunday" di Carlotta Tagliaro

Il PC è stato collegato al router tramite Ethernet e ha svolto poi la funzione di hotspot Wi-Fi per i televisori. I ricercatori hanno segnalato che i test relativi a Canale 5 e La7 sono stati effettuati solo su M5500 per via di un problema di compatibilità con lo Sharp (HbbTV non si attivava).

Per ciascun canale sono state compiute le seguenti operazioni:

  1. Mettersi in ascolto per 15 minuti, senza alcuna interazione, per rilevare potenziali trasmissioni dei dati avvenute prima di fornire il consenso esplicito all'uso dei dati sulle app HbbTV;
  2. Dare il consenso e interagire per 20 minuti tramite i pulsanti suggeriti, diversi per ogni canale, per analizzare le tipologie di dati inviate e rilevare eventuali connessioni HTTP nelle funzionalità extra offerte dalle app HbbTV;
  3. Revocare il consenso all'utilizzo dei dati, se possibile, e mettersi in ascolto per 10 minuti senza alcuna interazione;
  4. Ripristinare il consenso, cambiare canale, ri-sintonizzarsi sul canale iniziale e mettersi in ascolto per 15 minuti senza alcuna interazione.

I passaggi sono stati ripetuti per ogni canale con un ripristino alle impostazioni di fabbrica dei TV nel passaggio tra un canale e l'altro. Sullo Sharp si è anche fatto ricorso all'automazione collegando il prodotto al laptop tramite l'Android Debug Bridge.

I RISULTATI DELLA RICERCA

Tutti i nove canali presi in considerazione hanno evidenziato connessioni con almeno un servizio di tracciamento (con possibile profilazione tramite i cookie) ancor prima che l'utente presti il proprio consenso per il trattamento dei dati, esprimendosi dopo aver visualizzato l'apposita informativa sulla privacy. Due dei canali hanno inoltre effettuato richieste POST ad un'API AWS "/audiencesavemessage" con l'ID utente, il modello e il marchio del dispositivo per una successiva profilazione del consumatore.

I ricercatori hanno evidenziato poi potenziali rischi per la privacy a causa della data di scadenza dei cookie fissata in tempi mediamente lungi poiché compresa tra il 2021 e il 2048. I suddetti cookie possono essere soggetti ad attacchi perché vengono trasmessi in chiaro: è ad esempio il caso di RealTime che invia in questo modo i cookie relativi alla posizione geografica e al provider prima di ottenere un qualsiasi consenso dal consumatore.

RDS non mostra alcuna nota sulla privacy quando si accede all'app HbbTV per la prima volta e avvia la profilazione senza aver ottenuto alcun consenso dall'utente. Anche la Rai non permette di consultare l'informativa durante il primo accesso a HbbTV; per poter vedere come vengono trattati i dati è necessario accedere ad un sotto-menu che rimanda ad un link esterno.

Altre criticità emergono quando si tratta di revocare il consenso: dei nove canali analizzati sono tre a non permetterlo, nello specifico RDS, Rai 1 e Radio Kiss Kiss. RTS prevede questa opzione ma non cancella i cookie che identificano e profilano l'utente, permettendo così l'invio di richieste ai servizi di tracciamento fino alla scadenza.

Tabella tratta dallo studio "I still know what you watched last Sunday" di Carlotta Tagliaro

SportItalia, RDS e Spike impiegano anche un metodo noto come "tracking pixel". Questa tecnica consiste nel tracciare il comportamento dei consumatori ricorrendo all'upload di un'immagine da 1 x 1 pixel quando l'utente visita una pagina web o apre un determinato contenuto. Le dimensioni minuscole e la totale o parziale trasparenza rendono l'immagine invisibile all'occhio e chi guarda il TV non si accorge pertanto della sua presenza. Quando i tracking pixel vengono visualizzati si attiva l'invio di varie tipologie di dati (la ricerca non specifica quali vengano utilizzati dalle emittenti).

L'ultima criticità rilevata riguarda tutto il campione selezionato ad eccezione di Spike e Radio Kiss Kiss. Sono state rilevate richieste periodiche volte a controllare se il consumatore stia ancora guardando il canale oltre a richieste a servizi di tracciamento. Queste ultime sono frequenti: di media i domini di tracciamento vengono contattati ogni minuto. Sportitalia, ad esempio, invia richieste a smartclip ogni 70 secondi mentre RDS contatta Google Analytics ogni 14 secondi circa.

É dunque lampante che sul tema ci sia molto da fare e da discutere, sia per assicurare il rispetto delle normative in vigore sia per garantire una maggiore trasparenza e sicurezza nel trattamento dei dati. Per maggiori informazioni rimandiamo allo studio "I still know what you watched last Sunday" pubblicato da Carlotta Tagliaro.


69

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Overwiew_marcia

Per mia sfortuna non confondo nulla, quello che scrivi è l'ovvietà di come deve essere, qui si parla di tracciamento anche senza consenso, in pratica il demone gira in background, se è come dovrebbe essere non ci sarebbe nemmeno bisogno di fare un articolo.

PIxVU

<draft>

questo vostro articolo [ e post ] è davvero poco utile oltre che risultare particolarmente " fumoso. "

piuttosto che illustrarci quali metodi sono stati utilizzati per portare a termine la ricerca [ quasi a volerci sollecitare per individuare quell'errore statistico ] avreste fatta cosa molto buona [ e sempre ancor più giusta ], illustrandoci quali tipi di dati vengono raccolti e poi analizzati e con quale fine. avremmo certo intuito meglio quanto quei networks possono assediare e invadendo la nostra privacy e " insinuandosi " nelle nostre abitazioni [ violazione di proprietà privata e domicilio ] attraverso quel televisore.

</draft>

jacksp

See, su marte forse.

jacksp

Ci vorrà ublock anche sulla tv fra poco.

Davide Nobili

Devo ricordarmi quando vado dai miei, forse domenica ;)

Undertaker

SI, serie 700

È un tumore che va disabilitato. Non ce la fanno a non essere cancerogeni quando c'è la pubblicità e la profilazione di mezzo. Eppure le TV le fanno pagare non è che ce le regalano o fanno tipo amazon che ti fanno pagare meno se ti prendi il kindle con le televendite.

saetta

quello è un LG?

Nukysh

La metodologia descritta nell'articolo implica che HbbTV sia sempre attivo sul televisore. La revoca dei consensi di cui si parla va effettuata all'interno dell'applicativo specifico che viene caricato dal canale tramite HbbTV.
Se HbbTV è disattivato non viene caricato alcun software supplementare durante la visualizzazione del canale.

Undertaker

Puoi ripristinare l'ID https://uploads.disquscdn.c...

Chicco Bentivoglio

scalda abbastanza, il consumo è altalenante da 160W a 230W diciamo che di media siamo sui 200W. Non ho idea di cosa consumi una tv lcd e non mi pongo il problema per 4/5 ore di visone al giorno.

come portare il peggio di internet su TV :D
io ho tagliato la testa al toro e sul digitale terrestre guardo solo il tg, il resto on demand.

Paolone

Fammi sapere che sono curioso

confondi "dare il consenso" e "abilitare la funzionalità".
Disabilitare la funzionalità significa che l'app relativa nemmeno si avvia ( e infatti non appaiono tutte le relative funzioni, le pubblicità, nè la richiesta di permesso dei cookie)

Non mando di certo i dati del futuro eh.
E poi basta disabilitarlo prima di connetterlo ad internet.

HbbTV è disabilitabile completamente nelle TV smart.
E comunque il signor Mivar è morto, quindi non ne troverai più ;)

Too low terrain!

Per fortuna sono riuscito a trovare ancora un tv non smart.

Overwiew_marcia

Cito: I risultati della ricerca hanno dimostrato che la maggior parte dei canali mostra connessioni ad almeno un servizio di tracking prima ancora che l'utente abbia la possibilità di decidere se accettare o meno l’informativa sul trattamento dei dati.
C’è di più. Oltre metà dei canali studiati sfrutta pixel di tracciamento, che permettono di tracciare il comportamento dell’utente caricando un’immagine piccolissima (un pixel per un pixel) quando l’utente visita una pagina web o apre un determinato contenuto. Nella maggior parte dei casi indagati è difficile, se non addirittura impossibile, revocare il consenso all’utilizzo di questa tecnologia.

Diciamo che non si è capito bene se si ferma del tutto, nonostante il NON consenso al trattamento dei dati personali/tracciamento.
Bisogna usare un programma a valle come Charle's proxy per capire cosa invia cosa no, chi paga le ore per questo (ennesimo) esperimento?

LAM

È la prima cosa che spengo sulle TV che prendo. Ora ho un motivo in più

Massi

Vabbè ma se disabilito non dovrebbe comunque fermarsi? O cmq limitarsi a non aggiornare nulla?

Overwiew_marcia

Non serve, invia i dati prima di che l'utente intervenga...

Overwiew_marcia

Se ti può consolare non saresti riuscito nemmeno su LG del 2021 (webos 6).

Massi

Vado subito a disabilitare HbbTV

Tugur Reddu

Mamma che ricordi...la qualità dei plasma Pioneer era qualcosa di
pazzesco, restavo imbabolato per un sacco di tempo a vedere le prime
esposizioni nei negozi di elettronica!
Una curiosità,visto che lo utilizzi ancora, quanto consuma in rapporto ad un tv lcd/led/oled di pari dimensione? Scalda molto?

Tugur Reddu

Madonna che ricordi...la qualità dei plasma Pioneer era qualcosa di pazzesco, restavo imbabolato per un sacco di tempo a vedere le prime esposizioni nei negozi di elettronica!
Una curiosità,visto che lo utilizzi ancora, quanto consuma in rapporto ad un tv lcd/led/oled di pari dimensione? Scalda molto?

disabilita HbbTV.
Se non puoi farlo, porta la TV indietro e fattela cambiare con una che non ti tratta come una pecora da tosare.

pensa che io come prima cosa, andai nelle impostazioni e impostai l'equivalente della navigazione riservata, quella che non salva i cookie.
Beh, ogni volta che cambiavo canale mi dava l'informativa dei cookie perchè non aveva salvato il cookie, ahahah

disabilitato HbbTV per sempre, non voglio che la TV diventi come lo smartphone dove gli utenti sono di fatto pecore/ostaggi.

BerlusconiFica

Ah vero…ma se uno usa gli account per esempio su un firestick Amazon hanno comunque il tracciamento dell’account

Aster

a be vedere il turris omnia prendere polvere ti fa passare la voglia:)fastweb fino a due anni fa io usavo clonare il mac adress del fastgate,ora non so come funziona se con la legge del modem libero fanno un aggiornamento e trasformano il fastgate (quelli con modulo sfp integrato)in una semplice ont.Volendo potrei tornare al vecchio firmware pero aspetto qualche aggiornamento e uso un ubiquity

Chicco Bentivoglio

il tuo è un microfonino

Undertaker

Codacons e impegnata a dare la caccia a FEDEX...

Chicco Bentivoglio

bella menata, fastweb mi pare che non usi i tag vlan oltre i 4bit

Aster

si figurati,ho fatto una prova su panasonic durante gli europei per guardare rai 4k ed era insopportabile su dtt.

Migliorate Apple music
Aster

tiscali,se devo collegarlo direttamente alla ont senza passare dal modem in cascata.

Migliorate Apple music

Confermo, tolta anche io perché tanto RaiPlay ha l’app e non mi interessa la roba di Mediaset (oltre al fatto che sono molto lento con hbbtv)

Undertaker

Sui TV LG si, l'ho fatto, altri non so.

Iena_Reloaded

no, chinotti

Diciamo che hanno abbastanza rotto il ca*** con il popup dei cookie pure sulla TV con le app HbbTV.

Davide Nobili

Proverò a ricontrollare

Chicco Bentivoglio
Chicco Bentivoglio

kuro è una tv al plasma di 10 anni fa

Chicco Bentivoglio

che non c'entra quasi nulla con openwrt

Romolo

e il Codacons e AGcom che fanno? E BUKKIN?

Chicco Bentivoglio

per curiosità con cosa usi il vlan tag con lunghezza oltre i 4bit?

Chicco Bentivoglio

se leggi nell'articolo sono doubleclick e google analytics

momentarybliss

Il mio Samsung del 2016 continua a propormi nello smart hub la visione di contenuti che non posso vedere perché la TV non li supporta, e non posso nemmeno eliminare l'icona

Dici che é possibile disattivarlo? Magari quando ho tempo mi guardo subito qualche rapida guida che mi spieghi come disattivarlo sui tv con Android, grazie comunque

momentarybliss

Infatti è ciò che mi è toccato fare, troppo invasivo per i miei gusti

Aster

Venduto il kuro mi tengo openwrt in cassetto finché riattivano l'opzione vlan tag sopra i 4bit

Recensione TV Panasonic OLED LZ1500: il migliore anche senza soundbar

LG OLED Flex il primo 42" (OLED) pieghevole al mondo | Video Anteprima

Recensione TV Samsung OLED S95B: benvenuta concorrenza!

TCL TV QLED C735 da 98”: anteprima (con misure) del Cinema in casa… e non solo!