Negli ultimi anni, l’uso delle Smart TV è cresciuto esponenzialmente, con dispositivi in grado di offrire una vasta gamma di servizi e funzioni avanzate, come il supporto per app di streaming e la connessione a Internet [1,2].
Automatic Content Recognition: così i produttori tracciano i comportamenti degli utenti
Tuttavia, ciò che spesso passa inosservato agli utenti è la quantità di dati raccolti dalle Smart TV e il modo in cui i produttori utilizzano queste informazioni per tracciare le abitudini di visualizzazione degli spettatori [3, 4, 5].
Un recente studio ha rivelato che alcune tecnologie, come l’Automatic Content Recognition (ACR) [6,7,8], sono utilizzate per monitorare in modo dettagliato ciò che guardiamo, anche quando utilizziamo la TV semplicemente come display per dispositivi esterni.
La tecnologia ACR è integrata in molte Smart TV moderne e serve per riconoscere i contenuti video e audio che un utente sta guardando. A differenza del tracciamento di terze parti, dove app come Netflix o YouTube raccolgono dati sulle tue abitudini di visualizzazione all’interno della loro piattaforma, il tracciamento ACR è realizzato direttamente dal produttore della TV. Questo tipo di tracciamento, definito come “second-party tracking”, rappresenta un’area di ricerca ancora poco esplorata.
Come le Smart TV di Samsung e LG gestiscono il tracciamento ACR: lo studio
Un gruppo di ricercatori dell’University College London (Gianluca Anselmi, Anna Maria Mandalari), in collaborazione con colleghi dell’University of California, Davis (Yash Vekaria, Alexander D’Souza, Zubair Shafiq) e dell’Universidad Carlos III di Madrid (Patricia Callejo), ha recentemente pubblicato uno studio [9] che rivela come le Smart TV di produttori come Samsung e LG possano catturare snapshots o registrazioni audio dei contenuti visualizzati dagli utenti e trasmettere queste informazioni ai server per ulteriori analisi. Questi “screenshots”, denominati “snapshots”, vengono inviate con una frequenza elevata, ad esempio ogni 10 millisecondi nel caso di LG, e successivamente confrontate con un database di impronte digitali per identificare esattamente quali contenuti l’utente stia guardando.
Lo studio ha condotto un audit approfondito su come le Smart TV di Samsung e LG gestiscono il tracciamento ACR. Collegando i televisori a un server per monitorare il traffico di rete, i ricercatori sono stati in grado di osservare quando e come vengono trasmesse gli snapshots degli utenti. I risultati sono stati sorprendenti. Le TV trasmettono principalmente snapshots quando l’utente guarda qualcosa tramite un’antenna TV o un dispositivo collegato via HDMI, come un laptop o una console di gioco.
Le implicazioni per la privacy
Questa scoperta ha implicazioni significative per la privacy. Ad esempio, se un utente sta utilizzando la TV come display per un laptop connesso tramite HDMI, la Smart TV potrebbe catturare schermate delle attività, comprese quelle sensibili come la navigazione di informazioni personali o finanziarie. Questo scenario diventa ancora più problematico considerando che l’utente, spesso, non è a conoscenza di questo monitoraggio.
Al contrario, lo studio ha rilevato che le Smart TV non sembrano trasmettere snapshots durante altre attività, come lo streaming di contenuti tramite app come Netflix o YouTube, o quando la TV è inattiva. Tuttavia, il tracciamento persiste anche in scenari in cui la TV viene utilizzata semplicemente come monitor esterno.
Le differenze nel comportamento delle Smart TV in diverse regioni geografiche
Un aspetto interessante emerso dallo studio riguarda le differenze nel comportamento delle Smart TV in diverse regioni geografiche. Negli Stati Uniti, per esempio, le Smart TV tracciano anche i contenuti trasmessi attraverso canali FAST (Free Ad-supported Streaming TV) [10], mentre nel Regno Unito questo non avviene. Questa differenza potrebbe essere attribuita a vari regolamenti sui diritti d’autore che variano da paese a paese.
Inoltre, ci sono differenze significative nel modo in cui LG e Samsung gestiscono il tracciamento. Le Smart TV di LG catturano snapshots a una frequenza molto più alta rispetto a quelle di Samsung, permettendo una raccolta di dati più dettagliata.
Disattivare il tracciamento delle Smart Tv: procedura spesso complessa e poco trasparente
Sebbene gli utenti abbiano tecnicamente la possibilità di disattivare il tracciamento ACR sulle loro Smart TV, lo studio evidenzia come questa procedura sia spesso complessa e poco trasparente. Durante la configurazione iniziale della TV, la maggior parte delle persone accetta le condizioni d’uso e le politiche sulla privacy senza leggere attentamente cosa comportano. In particolare, una voce chiamata “servizi di informazioni di visualizzazione” consente il tracciamento ACR, ma molti utenti non sanno di cosa si tratti.
Come i produttori usano gli snaphot per profilare fli utenti
Una volta catturati, i dati raccolti tramite ACR vengono inviati ai server del produttore della Smart TV. Qui, gli snapshots vengono confrontati con un vasto database di contenuti, che include film, show televisivi e trasmissioni in diretta. Quando si trova una corrispondenza, i produttori possono sapere esattamente cosa l’utente sta guardando e aggiornare il suo profilo di visualizzazione.
Nel tempo, queste informazioni consentono ai produttori di creare un profilo completo delle abitudini dell’utente, che può includere i generi preferiti, i programmi guardati in momenti specifici della giornata o della settimana, e così via. Questo profilo viene poi utilizzato per targettizzare pubblicità e suggerimenti di contenuti, aumentando l’efficacia delle campagne pubblicitarie.
Le implicazioni per la privacy derivanti dall’uso del tracciamento ACR sono significative. L’idea che una Smart TV possa catturare snapshots dei contenuti visualizzati, anche quando viene utilizzata come semplice monitor per un laptop, solleva preoccupazioni sulla protezione dei dati personali. Se, ad esempio, un utente accede a informazioni sensibili sul proprio laptop, queste potrebbero essere catturate e analizzate senza il suo consenso esplicito.
Inoltre, lo studio ha evidenziato potenziali problemi legati alla geolocalizzazione dei server che ricevono questi dati. Nel Regno Unito, i dati raccolti da LG vengono inviati a server situati ad Amsterdam, mentre per Samsung, alcuni dati vengono inviati negli Stati Uniti, dove vigono leggi sulla privacy diverse da quelle europee. Sebbene sia previsto un quadro giuridico che regola il trasferimento dei dati tra l’UE e gli Stati Uniti, come il Data Privacy Framework, rimangono preoccupazioni riguardanti la protezione dei dati dei consumatori. Lo studio evidenzia come la tecnologia ACR rappresenti una sfida significativa per la privacy degli utenti di Smart TV.
Il monitoraggio delle attività di visualizzazione attraverso la tecnologia ACR solleva anche importanti questioni etiche. Gli utenti spesso non sono consapevoli dell’entità del tracciamento, e la mancanza di trasparenza nella gestione dei dati personali può portare a un sentimento di sfiducia nei confronti dei produttori.
La capacità di tracciare i contenuti visualizzati e di creare profili dettagliati può portare inoltre a una forma di “profilazione comportamentale”, un processo in cui vengono raccolte informazioni sui comportamenti degli utenti per prevedere i loro interessi futuri e fornire pubblicità mirata. Questa profilazione può essere estremamente accurata e potenzialmente invasiva, poiché permette ai produttori di Smart TV di dedurre aspetti della vita privata di una persona basandosi sulle sue preferenze di visualizzazione.
Misure per la trasparenza e la privacy
Per rendere il processo più trasparente, i produttori di Smart TV potrebbero adottare un approccio più esplicito, simile a quello previsto dal GDPR per il web, che richiede un consenso informato per il tracciamento. Ad esempio, una notifica potrebbe apparire sullo schermo della TV, chiedendo chiaramente all’utente se desidera consentire la cattura e la condivisione di snapshots dei contenuti che sta guardando.
Gli esperti suggeriscono altresì che i produttori di Smart TV dovrebbero implementare misure di sicurezza più rigorose e fornire agli utenti opzioni chiare e semplici per gestire le loro impostazioni di privacy. Ad esempio, i produttori potrebbero offrire un controllo più dettagliato sulle autorizzazioni, consentendo agli utenti di scegliere quali dati condividere e con chi. Inoltre, i produttori dovrebbero essere più trasparenti su come vengono utilizzati i dati raccolti e fornire informazioni chiare su come disattivare completamente il tracciamento ACR.
Cosa possono fare gli utenti per proteggere la privacy
Gli utenti, da parte loro, possono adottare alcune misure per proteggere la propria privacy quando utilizzano una Smart TV. Ad esempio, possono verificare le impostazioni di privacy del dispositivo e disattivare il tracciamento ACR se possibile.
Un altro consiglio pratico è quello di tenere la Smart TV disconnessa da Internet quando non viene utilizzata per servizi di streaming o app specifiche. Questa semplice azione può impedire al dispositivo di inviare dati ai server del produttore quando non è necessario.
La responsabilità dei produttori di Smart TV
Lo studio ha anche sollevato domande sulla responsabilità dei produttori di Smart TV nel garantire la privacy degli utenti. La mancanza di una regolamentazione chiara e uniforme nel settore delle Smart TV lascia spazio a comportamenti potenzialmente invasivi e solleva la necessità di una maggiore supervisione da parte delle autorità competenti.
Nel contesto europeo, regolamenti come il GDPR offrono una certa protezione ai consumatori, stabilendo diritti chiari in merito alla raccolta e al trattamento dei dati personali. Tuttavia, la rapida evoluzione della tecnologia delle Smart TV e delle pratiche di tracciamento rende difficile per le normative stare al passo. Potrebbe essere necessario un quadro giuridico più specifico e aggiornato che affronti le peculiarità del tracciamento ACR.
Infine, sebbene differente dall’ACR, l’approccio di auditing, utilizzato in questo studio, può essere adottato per valutare i rischi per la privacy di Recall [11], che analizza snapshots dello schermo utilizzando l’intelligenza artificiale generativa [12].
Bibliografia
[1] Virginie Dremeaux. 2021. Across Europe, TV viewing is already a connected experience. https://www.freewheel.com/insights/blog/across-europe-tv-viewingis-already-a-connected-experience. Accessed: 2024-05-07
[2] Audrey Schomer. 2024. The state of smart TV: a special report. https://variety. com/vip-special-reports/the-state-of-smart-tv-special-report-1235841024/. Accessed: 2024-05-07.]
[3] Hooman Mohajeri Moghaddam, Gunes Acar, Ben Burgess, Arunesh Mathur, Danny Yuxing Huang, Nick Feamster, Edward W Felten, Prateek Mittal, and Arvind Narayanan. 2019. Watching you watch: The tracking ecosystem of overthe-top tv streaming devices. In Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 131–147.
[4] Carlotta Tagliaro, Florian Hahn, Riccardo Sepe, Alessio Aceti, and Martina Lindorfer. 2023. I Still Know What You Watched Last Sunday: Privacy of the HbbTV Protocol in the European Smart TV Landscape. In 30th Annual Network and Distributed System Security, NDSS 2023.
[5] Marcos Tileria and Jorge Blasco. 2022. Watch over your TV: a security and privacy analysis of the android TV ecosystem. Proceedings on Privacy Enhancing Technologies 3 (2022), 692–710
[6] Tim Peterson. 2022. WTF is automatic content recognition (ACR)? https://digiday.com/future-of-tv/wtf-is-automatic-content-recognition/.
[7] IAB Canada. 2022. Understanding ACR: A Samsung Ads guide for advertisers. https://iabcanada.com/wp-content/uploads/2022/09/Samsung-Ads-ACRGuide-CA.pdf.
[8] LG Ad Solutions. 2022. How ACR solves major advertiser challenges: Transparency, Cross-Platform Advertising, Measurement, Incrementality. https://lgads.tv/insights/how-acr-solves-major-advertiser-challenges/.
[9] Anselmi, G., Vekaria, Y., D’Souza, A., Callejo, P., Mandalari, A. M., & Shafiq, Z. (2024). Watching TV with the Second-Party: A First Look at Automatic Content Recognition Tracking in Smart TVs. Proc. of the Internet Measurement Conference (IMC) 2024.
[10] Alan Wolk. 2023. Why FAST Channels Are Not the Same as Cable Networks. https://www.nexttv.com/news/why-fast-channels-are-not-the-sameas-cable-networks-wolk. Accessed: 2024-05-14
[11] Microsoft. 2024. Retrace your steps with Recall. https://support.microsoft.com/enus/windows/retrace-your-steps-with-recall-aa03f8a0-a78b-4b3e-b0a1- 2eb8ac48701c
[12] Tom Warren. 2024. Windows AI feature that screenshots everything labeled a security ‘disaster’. https://www.theverge.com/2024/6/3/24170305/microsoftwindows-recall-ai-screenshots-security-privacy-issues
