UPDATE: Sony TV calls home, tells your MAC-address

May 30, 2011

Just because I can and I was curious, I sniffed on my Sony TV set’s traffic:

GET /WsIndexes/AZ1_EU.xml HTTP/1.1
Host: applicast.ga.sony.net
Accept: */*
X-WS-MODEL-NAME: KDL-46EX705
X-WS-CLIENT-ID: 54:42:49:B5:E1:28
X-WS-COUNTRY-CODE: DEU
X-WS-LANGUAGE-CODE: ger
User-Agent: WidgetSystem/2.0


HTTP/1.1 200 OK
Server: Apache
ETag: "dd74d85181fb035ebc97fe67fc242681:1303966227"
Last-Modified: Thu, 28 Apr 2011 04:50:27 GMT
Accept-Ranges: bytes
Content-Length: 3107
Content-Type: application/xml
Date: Thu, 26 May 2011 14:50:46 GMT
Connection: keep-alive

Why does my TV send it’s MAC-address to Sony?

Next on: Will try to change the X-WS-CLIENT-ID to some arbitrary value and see what happens.

Because I can. For science.

UPDATE: I just wrote Sony Europe a letter with a request for comment. Text (in German) below:

Bei einem Sicherheitsaudit meines Netzwerkes ist mir aufgefallen,
dass mein Fernseher jedes Mal beim Einschalten bestimmte Server von
Sony im Internet kontaktiert, um die Liste verfügbarer Widgets
herunter zu laden.
Das ist auch soweit OK.
Aber warum schickt mein Fernseher seine MAC-Adresse mit - das Merkmal,
was meinen bestimmten Fernseher identifiziert, obwohl ich in diesem Fall
noch keinen Kaufvorgang eingeleitet habe?
Das Deutsche Datenschutzgesetz sagt eindeutig, dass Daten nur dann
erhoben werden dürfen, wenn diese für einen Geschäftsvorgang unbedingt
nötig sind. Beim Einschalten meines Fernsehgerätes habe ich aber noch
nicht die Intention, mit Ihnen ein neues Geschäft zu tätigen.

Bitte teilen Sie mir bis zu Montag, dem 13. Juni, folgende
Informationen mit:

* Warum Sie das tun
* In welcher Form sie die MAC-Adresse in Kombination mit meiner
IP-Adresse speichern
* Wem Sie diese Daten weitergeben
* Was sie mit diesen Daten tun
* Wie lange sie diese Daten speichern

Ich bedanke mich recht herzlich im Voraus!

Alexander Janßen.

UPDATE: A few weeks later, no response from Sony. I wrote them another message over their webinterface.

Sehr geehrte Damen und Herren,

ich habe Ihnen am 30. Mai die Frage gestellt, warum mein Fernseher -
ein KDL-46EX705 - seine Ethernet MAC-Adresse zu ihnen mitschickt, wenn
er sich seine Diensteliste bei Ihnen abholt.
Leider haben Sie mir weder eine Antwort noch eine Bearbeitungsnummer
bisher zukommen lassen.
Um mein Anliegen noch einmal zu verdeutlichen, füge ich meine Nachricht
an Sie noch einmal unten an.
Bitte geben Sie mir bis nächste Woche Montag, den 27. Juni 2011
Bescheid, unter welcher Bearbeitungsnummer SIe mein Anliegen bearbeiten
und wen ich in Ihrem Unternehmen dazu telefonisch befragen kann - und
das bitte nicht unter einer kostenpflichtigen Nummer. Wir hatten schon
Kontakt miteinander und ich sehe nicht ein, mit meinem Lieferanten
gegen Geld bei einer Reklamation zu sprechen - einer Reklamation, die
auch noch meine Privatsphäre betrifft.
Meine alte Nachricht an Sie.
--- schnipp ---

Bei einem Sicherheitsaudit meines Netzwerkes ist mir aufgefallen,
dass mein Fernseher jedes Mal beim Einschalten bestimmte Server von
Sony im Internet kontaktiert, um die Liste verfügbarer Widgets
herunter zu laden.
Das ist auch soweit OK.
Aber warum schickt mein Fernseher seine MAC-Adresse mit - das Merkmal,
was meinen bestimmten Fernseher identifiziert, obwohl ich in diesem Fall
noch keinen Kaufvorgang eingeleitet habe?
Das Deutsche Datenschutzgesetz sagt eindeutig, dass Daten nur dann
erhoben werden dürfen, wenn diese für einen Geschäftsvorgang unbedingt
nötig sind. Beim Einschalten meines Fernsehgerätes habe ich aber noch
nicht die Intention, mit Ihnen ein neues Geschäft zu tätigen.

Bitte teilen Sie mir bis zu Montag, dem 13. Juni, folgende
Informationen mit:

* Warum Sie das tun
* In welcher Form sie die MAC-Adresse in Kombination mit meiner
IP-Adresse speichern
* Wem Sie diese Daten weitergeben
* Was sie mit diesen Daten tun
* Wie lange sie diese Daten speichern

Ich bedanke mich recht herzlich im Voraus!

Alexander Janßen.
--- schnapp ---

Ich hoffe, bis nächste Woche Montag von Ihnen zu hören -
Alexander Janßen.


Analyzing TOR-exitnodes for anomalies – results

October 6, 2006

TOR logoAs my regular readers clearly remember, a couple of days ago i accused the Linux Magazine of bigotry. Later I learned that it’s not only the Linux Magazine, but lot’s of other sites which show a strange behaviour when accessed through the Tor-system.

To check what’s really going on i started an investigation and tested more than a thousand Tor-nodes for strange behaviour. I submitted my results to the or-talk List yesterday:

Date: Thu, 5 Oct 2006 17:56:51 +0200
From: “Alexander W. Janssen” <yalla@ynfonatic.de>
To: or-talk@freehaven.net
Subject: First results of analysis

Hi all,

i checked 1161 nodes in total.

269 of them where responsive exit-nodes, all behaving correctly.

9 exitnodes where responsive, but their had some proxy installed which didn’t behave quite correct when you accessed a webpage with the notation original.url.$nodename.exit; the error-messages varied from “could not resolve” (looks like a DNS-leak to me) over “502 Bad Gateway” through “502 Proxy Error”.

However, in my list of exit-nodes i couldn’t find any host which showed the described behaviour. My test-URL was http://www.linux-magazine.com/.

So there is still some space left for discussion: Did i miss the “bad” or “banned” exitnode?

I tend to agree with Claude; at the moment it doesn’t seem likely that we have some sort of bad exitnodes in place.

However we probably should think if we should install some kind of early warning system. I could imagine something like this: Every client checks once per day some random website on the internet via, let’s say, 10 random exit-nodes and compares the results. If something is wrong the exitnode could be signalled to a real human which could verify the claim.

How do you think about that?

Cheers, Alex.

I stopped my efforts at the moment; I tend to blame Linux Magazine’s webhoster, but no-one knows exactly what’s going on. It’ll just be a matter of time until somehow set’s up rogue Tor-nodes.

Therefore: Dear editor and people from the Linux Magazine, I was in rage. You clearly didn’t deserve to be called “bigot”. I honestly apologize. I don’t know what’s really going on, but maybe you start an investigation on your own.

Alexander “Yalla” Janssen.

Tech Tags:


Analyzing TOR-exitnodes for anomalies

October 4, 2006

TOR logoA few days ago I had a strange encounter with Linux New Media‘s “Linux Magazine” website; depending on whether I used TOR to access their website i got different results. Accessing their site with TOR resulted in getting redirected to some kind of link-farm which made me totally suspicious. I assumed that they’re looking on the source IP-address and deciding for the correct webpage – however, that phenomenon vanished a couple of hours after blogging about it so i assumed that they fixed it.

Later i found a posting on the or-talk mailinglist about someone who was suspecting that certain TOR-nodes might alter webpages and include advertising of some sort. This would’ve been an interesting attack.

I take my own work and my own assumptions very serious. I don’t want to blame the Linux Magazine if they didn’t do it and denouncing their actions as “bigotry“, as I did, is not to be taken ligthly.

For that reason, out of curiosity, interest and for everyone else I started an investigation about if there are any bogus TOR-exitnodes which might alter the content of webpages and if they do, what else they might do.

Theory of operation is simple:

  1. Get a list of known nodes which allow outbound tcp/80 traffic (http://localhost:9030/tor/running-routers is a good start)
  2. Loop over all exitnodes i and get a website A via exitnode i using TOR: “wget http://A.${i}.exit/ -O $i.html
  3. Compare all stored websites (or, let’s say, distinctive parts) with an original

I already checked about 20% of all known exitnodes which were known to one of machines as of today and I certainly will conduct the same experiment a couple of times until publishing a result.

Stay tuned for updates. If there are bogus exitpoints we’ll find; what actions we might take is up to the TOR-operators. I’d suggest putting them on your TOR-nodes blacklist.

Tech Tags:


Follow

Get every new post delivered to your Inbox.

Join 119 other followers