Η διαδραστική ταινία Black Mirror: Bandersnatch, που κυκλοφόρησε τον Δεκέμβριο από το Netflix, έκανε μεγάλη εντύπωση στο κοινό. Το ιδιαίτερο σε αυτή την ταινία, είναι ότι οι θεατές έχουν τη δυνατότητα να επιλέξουν πώς θα εξελιχθεί η υπόθεση. Πέρα από αυτή την ταινία υπάρχουν πλέον και άλλα διαδραστικά προγράμματα.
Κάποιοι ερευνητές από το Indian Institute of Technology Madras έδειξαν ότι οι θεατές αυτών των προγραμμάτων μπορεί να θέτουν τα δεδομένα τους σε κίνδυνο.
Το 2016, η Netflix προχώρησε στην κρυπτογράφηση όλων των video streams, με σκοπό να ενισχύσει την προστασία της ιδιωτικής ζωής των χρηστών. Αυτό θα μπορούσε να αποτρέψει επιθέσεις man-in-the-middle. Ωστόσο, βρέθηκε τώρα, ότι είναι δυνατή η ανάλυση των κρυπτογραφημένων διαδραστικών video, η οποία επιτρέπει την απόκτηση πληροφοριών σχετικά με το τι βλέπουν οι χρήστες και τι επιλογές έχουν κάνει για την εξέλιξη της υπόθεσης στα διαδραστικά προγράμματα.
Ένας από τους ερευνητές λέει, ότι οι αλληλεπιδράσεις ανάμεσα στους θεατές και την ταινία ήταν παρόμοιες με αλληλεπιδράσεις που μελετά σε web εφαρμογές και websites. Έτσι, δοκίμασε κάποιες τεχνικές και μπόρεσε να καθορίσει τις επιλογές που κάνουν οι θεατές.
Παρά την προσθήκη του HTTPS το 2016, πολλές μελέτες έχουν βρει ότι μπορεί να γίνει επίθεση man in the middle και να αποκτηθεί πρόσβαση στα κρυπτογραφημένα video. Mε την επίθεση, ο hacker μπορεί να είναι σε θέση να καταλάβει τι παρακολουθούν οι θεατές. Ακόμα και χωρίς πρόσβαση στο δίκτυο, οι hackers μπορούν να χρησιμοποιήσουν κακόβουλα scripts, για να πάρουν πληροφορίες σχετικά με τις προτιμήσεις των θεατών.
Οι ερευνητές του IIT κατάφεραν να παρακολουθήσουν σε βάθος τις επιλογές των θεατών. Κάθε φορά που γίνονται οι επιλογές, η Netflix θεωρεί μία από αυτές ως προεπιλεγμένη ή πιο πιθανή επιλογή και την άλλη ως αντίγραφο ασφαλείας. Στη συνέχεια, γίνεται επεξεργασία του προεπιλεγμένου video, ώστε να είναι έτοιμο για αναπαραγωγή. Έπειτα, η υπηρεσία στέλνει ένα πακέτο που περιέχει ένα αρχείο, γνωστό ως αρχείο JSON. Το αρχείο αυτό περιέχει πληροφορίες σχετικά με την επιλογή του θεατή.
Οι ερευνητές μπόρεσαν να καταλάβουν τις επιλογές που είχαν κάνει οι θεατές και μάλιστα να ξεχωρίσουν σε ποιο στάδιο έγινε η καθεμία. Αυτό το έκαναν χρησιμοποιώντας κάποια χαρακτηριστικά του stream, το μέγεθος του αρχείου JSON και ένα file header που χρησιμοποιείται από το πρωτόκολλο κρυπτογράφησης.
Ωστόσο, η Netflix δεν θεωρεί αυτή την επίθεση τόσο εύκολη στην πράξη. Η εταιρεία αναφέρει ότι απαιτείται πρόσβαση στη ροή δεδομένων του δικτύου για να γίνει ανάλυση. Επίσης, θεωρεί δύσκολη την ταυτοποίηση video stream δεδομένων στο ανοιχτό διαδίκτυο.
Από την άλλη πλευρά, οι ερευνητές επισημαίνουν ότι οι χρήστες μπορούν να παραπλανηθούν και να συνδεθούν με routers ή σημεία πρόσβασης, που ελέγχονται από hackers.
Πέρα όμως από τους κακόβουλους hackers, υπάρχουν και άλλοι που ενδιαφέρονται για τις προτιμήσεις των θεατών και θα ήθελαν να ξέρουν τι παρακολουθούν οι άνθρωποι. Για παράδειγμα, οι διαφημιστές και τα VPN θέλουν να έχουν τέτοιες πληροφορίες, για να ξέρουν τι διαφημίσεις να εμφανίσουν στους θεατές.
Φυσικά οι επιλογές που κάνουν οι θεατές για το πώς θα εξελιχθεί η υπόθεση σε μια ταινία δεν αποτελεί ευαίσθητο προσωπικό δεδομένο. Το πρόβλημα έχει να κάνει γενικά με την ασφάλεια των δεδομένων που δημιουργούνται από τα διαδραστικά media και τις streaming υπηρεσίες.
Τον Φεβρουάριο, ένας ερευνητής έδειξε ότι η Netflix διατηρεί αρχεία με τις επιλογές των θεατών στο Bandersnatch. Αυτό το είδος πληροφοριών μπορεί να μην φαίνεται τόσο σημαντικό, μπορεί όμως κάποιοι άνθρωποι να έχουν κάνει κάποιες επιλογές που δεν θέλουν να βγουν προς τα έξω. Μπορεί για παράδειγμα να έχουν βάλει τον ήρωα να κάνει κάτι παράνομο.
“Η κρυπτογράφηση μπορεί να κρύβει το περιεχόμενο, αλλά δεν κρύβει τη ροή δεδομένων και η ανάλυση της ροής μπορεί να αποκαλύψει σημαντικά μυστικά, χωρίς να σπάσει την κρυπτογράφηση. Καθώς τα συστήματα video γίνονται πιο διαδραστικά, η ανάλυση της ροής θα αποκαλύψει περισσότερες πληροφορίες σχετικά με τις ιδιωτικές επιλογές των χρηστών”, ανέφερε ένας άλλος ερευνητής, ο οποίος δεν συμμετείχε στη συγκεκριμένη έρευνα.
Οι ερευνητές υπέβαλαν τα ευρήματά τους στο bug bounty πρόγραμμα της Netflix και η εταιρεία αναγνώρισε την εγκυρότητά τους. Ωστόσο, η υποβολή δεν έγινε τελικά δεκτή επειδή η διαρροή δεδομένων έχει να κάνει με το πρωτόκολλο κρυπτογράφησης. Η Netflix δεν έχει τον έλεγχο του πρωτοκόλλου.
Οι ερευνητές, ωστόσο, πρότειναν ότι η Netflix θα μπορούσε να προσφέρει extra προστασία, συμπιέζοντας τα αρχεία JSON με διαφορετικό τρόπο, ώστε να μην μπορούν να αναλυθούν εύκολα. Βέβαια, χρειάζονται και άλλα μέτρα προστασίας.
