Группа исследователей обнаружила, что в «умных» телевизорах таких крупных производителей, как Samsung и LG, используется похожая на Shazam технология автоматического распознавания контента (Automatic Content Recognition, ACR), позволяющая следить за тем, что смотрит пользователь. При этом отказ от такой «слежки» нельзя назвать тривиальным.
Согласно докладу ученых из Университетского колледжа Лондона, Калифорнийского университета в Девисе и Мадридского университета имени Карла III, система слежения работает даже тогда, когда телевизоры используются в качестве внешних дисплеев, то есть подключены через HDMI к другим девайсам. Таким образом, ACR может перехватывать контент с игровых консолей или ноутбуков, подключенных к ТВ.
Технология ACR предназначена для профилирования зрительской активности пользователей. Она периодически перехватывает контент (делает скриншоты), отображаемый на экране устройства, а затем сопоставляет его с библиотекой контента, чтобы определить, что именно отображется на экране в тот или иной момент времени.
Подобные системы занимаются так называемым «сторонним отслеживанием» и интегрированы непосредственно в операционные системы «умных» ТВ. При этом black-box аудит сетевого трафика ACR между клиентами на смарт-телевизорах и серверами выявил заметные различия в работе этой технологии в США и Великобритании.
К примеру, в США исследователи обнаружили, что ACR активна во время просмотра бесплатного стримингового телевидения с поддержкой рекламы (FAST), в то время как в Великобритании она отключена в этом случае. То есть на работу функции напрямую влияют законы о конфиденциальности данных разных стран. Также ACR не работает при просмотре Netflix или YouTube. При этом причем статус входа пользователя в систему (залогинен человек или нет) никак не влияет на поведение ACR.
Исследователи говорят, что с момента своего появления в 2011 году ACR была адаптирована для идентификации самых разных видов контента. Такие компании как DirecTV и Viggle интегрировали ACR в экосистему телевизоров, а Samsung сотрудничала с компанией, занимающейся распознаванием контента, чтобы интегрировать ACR в свои «умные» ТВ. Компания LG, еще один крупный игрок на рынке ТВ, внедрила ACR в свои устройства еще в 2013 году, благодаря партнерству с компанией Cognitive Networks.
«Когда ACR включена на телевизорах LG, устройства связываются с одним доменом (eu-acrX.alphonso.tv, где X — произвольное число, которое периодически меняется). Этот домен принадлежит технологической компании Alphonso, которая управляет LG Ad Solutions, — говорится в исследовании. — В свою очередь, устройства Samsung связываются сразу с несколькими ACR-доменами (acr-eu-prd.samsungcloud.tv, acr0.samsungcloudsolution. com, log-config.samsungacr.com, log-ingestion-eu.samsungacr.com)».
Специалисты отмечают, что ACR-слежка уже вызывала беспокойство и вопросы, связанные с конфиденциальностью. В частности, в суд на компанию Vizio подавала Федеральная торговая комиссия США, обвинив компанию в продаже данных о клиентах третьим лицам, которые затем использовали их для показа людям персонализированной рекламы. Этот иск был урегулирован в 2017 году, и Vizio согласилась предоставлять более четкую информацию о сборе данных и внедрить механизмы отказа.
К сожалению, невзирая на существование механизмов отказа в наши дни, исследователи предупреждают, что отказаться от такой слежки может быть весьма непросто, и зачастую для этого потребуется углубленное изучение различных настроек в многочисленных подразделах, а универсального выключателя попросту не существует.
«Кроме того, неясно, работают ли эти средства контроля конфиденциальности так, как было задумано изначально», — пишут эксперты.
Однако в отчете подчеркивается, что после отказа от отслеживания вся связанная с ACR сетевая активность действительно прекращается.
Эксперты подытоживают, что в будущем они планируют изучить более продвинутые MitM-методы слежения, чтобы лучше разобраться в полезных нагрузках и понять связь между ACR-отслеживанием и таргетированной рекламой в «умных» телевизорах.