Älytelevisioiden vakoiluominaisuus voi vaarantaa kryptovaluuttakäyttäjän turvallisuuden
Monet uudet älytelevisiot ottavat automaattisesti kuvakaappauksia ruudun sisällöstä tunnistaakseen katsottavan ohjelman. Tämä niin kutsuttu ACR-seurantatoiminto on herättänyt vakavia tietoturvahuolia: jos älytelevisiota käytetään tietokoneen näyttönä ja ruudulla näkyy esimerkiksi kryptovaluuttalompakon palautuslause, voi televisio napata siitä kuvan ja lähettää sen valmistajan palvelimille.
Televisio seuraa ruutua huomaamattasi
Viime viikolla (23.10.2025) teknologiayhtiöitä seuraava BGR-uutissivusto julkaisi oppaan, joka muistuttaa älytelevisioiden Automatic Content Recognition -ominaisuuden (ACR, automaattinen sisällöntunnistus) laajuudesta. Useimmat modernit älytelevisiot mukaan lukien Samsung– ja LG-mallit keräävät katsojasta tietoja ACR-järjestelmän avulla. Televisio ottaa jatkuvasti kuvakaappauksia ruudun sisällöstä, jopa kaksi kuvaa sekunnissa, ja vertaa niitä taustalla laajaan tietokantaan. Tämän perusteella laite päättelee, mitä sisältöä katsotaan, ja välittää tiedot valmistajalle sekä mahdollisesti mainoskumppaneille. Tarkoituksena on kohdentaa mainoksia ja suosituksia käyttäjälle. Moni käyttäjä saattaa antaa ACR:lle luvan tietämättään televisiota ensiasennettaessa usein se on piilotettu monien käyttöehtojen sekaan.
Syyskuussa 2024 julkaistu akateeminen tutkimus vahvisti, että ACR-seuranta toimii kaikissa katselutilanteissa. LG:n ja Samsungin televisioilla tehdyissä testeissä havaittiin ACR-dataliikennettä silloinkin, kun televisio toimi pelkkänä ulkoisena näyttönä HDMI-kaapelin kautta kytketylle tietokoneelle tai pelikonsolille. Toisin sanoen älytelevisio “vakoilee” ruutua riippumatta siitä tuleeko sisältö antennista, suoratoistosovelluksesta vai tietokoneesta. Tutkijoiden mukaan televisio otti ruudusta useita kuvakaappauksia sekunnissa ja lähetti noin 15 sekunnin välein kuvapoimintoja analysoitavaksi valmistajan ACR-palvelimelle. Yllättäen he havaitsivat, ettei ACR lähettänyt dataa joissain suoratoistosovelluksissa (kuten Netflixissä tai YouTubessa) luultavasti siksi, että näillä sovelluksilla on omat sisäiset sisältötunnistusmenetelmänsä tai sopimusrajoitteet. ACR oli kuitenkin aktiivinen esimerkiksi perinteistä TV-lähetystä katsottaessa sekä tietokoneen tai Chromecastin tuottaman sisällön aikana. *Privacy-asetusten kautta tehdyt ACR-estot myös testattiin: kun käyttäjä kytki ACR-seurannan pois päältä television valikoista, kuvakaappausten lähettäminen loppui. Tämä osoittaa, että ominaisuus on ainakin toistaiseksi hallittavissa joskin tavalliselle käyttäjälle melko vaikeasti.
Kryptovaluuttalompakon avainsanat vaarassa ruudulla
Älytelevisioiden ACR-teknologia on lähtökohtaisesti kehitetty kaupallisiin tarkoituksiin, mutta se voi muodostaa yllättävän tietoturvariskin erityisesti kryptovaluuttojen käyttäjille. Kryptovaluuttalompakoissa on tyypillisesti ns. palautuslause (engl. seed phrase), joka koostuu 12–24 satunnaisesta sanasta. Tämä salainen sanalista toimii varmuuskopiona: jos käyttäjä menettää pääsyn lompakkoonsa, palautuslauseella hän voi koska tahansa palauttaa kryptovaluuttansa uuteen laitteeseen. Kääntöpuolena kuka tahansa, joka saa palautuslauseen haltuunsa, voi varastaa kyseisen lompakon varat ilman eri tunnuksia. Siksi kokeneet kryptosijoittajat painottavat, ettei palautuslause saa koskaan päätyä vääriin käsiin ei edes digitaalisena kuvakaappauksena omalla puhelimella.
ACR tuo tähän uuden vaaran ulottuvuuden. Jos kryptovaluuttakäyttäjä käyttää älytelevisiota tietokoneen näyttönä ja esimerkiksi avaa lompakkonsa palautuslauseen ruudulle varmuuskopioidakseen sen, televisio saattaa huomaamatta napata kuvan näytöstä. Pahimmassa tapauksessa kuva, jossa elintärkeä salasanalista näkyy, lähetetään valmistajan tai sen yhteistyökumppanin palvelimille analysoitavaksi. Vaikka televisiovalmistaja kerää tiedot ensisijaisesti sisällön tunnistamista ja mainontaa varten ei varastaakseen kryptovaluuttoja on silti mahdollista, että näin arkaluonteiset tiedot päätyvät tallennetuiksi jonnekin internetin pilvipalveluihin. Kaikki etäpalvelimeen ladattu data on altis tietomurroille ja vuodoille. Lisäksi tietoturva-asiantuntijat huomauttavat, että sisällön tunnistusalgoritmit kehittyvät nopeasti: jos jokin tekoäly pystyy analysoimaan lähetettyjä ruutukuvia, se voisi teoriassa poimia myös tekstinpätkiä kuvista. Siten periaatteessa ACR:n keräämä kuvakaappaus kryptolompakon palautuslauseesta voisi muuttua tekstimuotoon ja päätyä vääriin käsiin.
Esimerkkejä vastaavanlaisista hyökkäyksistä on jo nähty muualla. Syyskuussa 2024 tietoturvayhtiö McAfee paljasti laajan haittaohjelmakampanjan, jossa Android-puhelimiin piilotetut virukset skannasivat laitteen kuvatiedostoja optisen tekstintunnistuksen avulla. Tavoitteena oli löytää juuri kryptovaluuttalompakoiden palautusavaimia tai muita kirjautumistietoja kuvista ja lähettää ne rikollisille. Tapauksessa satojen vilpillisten sovellusten avulla varastettiin onnistuneesti lukuisia seed phrase -koodeja käyttäjien puhelimista. Vaikka älytelevision ACR-toiminnon kautta ei ole vielä raportoitu vastaavia varkauksia, periaate on samankaltainen: kaikki ruudulla näkyvä voidaan kaapata talteen. Kryptovaluuttoja käyttäville tämä on vakava muistutus siitä, että mitään luottamuksellista tietoa palautusfraaseja, yksityisavaimia tai vaikka QR-koodimuotoisia lompakon osoitteita ei tulisi koskaan näyttää laitteella, joka on yhdistetty internetiin ja jota ei ole täysin hallinnassa.
Ominaisuutta on kritisoitu jo vuosia
ACR-seuranta ei ole uusi ilmiö, ja se on herättänyt kriittisiä ääniä kuluttajasuojan näkökulmasta jo pitkään. Yhdysvalloissa televiestintäalan sääntelyviranomainen FTC jopa haastoi tv-valmistaja Vizion oikeuteen vuonna 2017 paljastettuaan, että yhtiö keräsi käyttäjien katselutietoja ACR:n avulla ilman kunnollista suostumusta. Vizion tapaus johti miljoonakorvauksiin ja osoitti, että viranomaiset pitävät television näytöltä salakuvaamista vakavana yksityisyyden loukkauksena. Myös riippumattomat kuluttajatahot ovat varoittaneet asiasta: esimerkiksi yhdysvaltalainen Consumer Reports -lehti hälytti jo vuonna 2018 ACR-teknologian haitoista. The Guardian -sanomalehti puolestaan nosti esiin riskin, että TV:n keräämiä katselutietoja voidaan pahimmillaan hyödyntää jopa henkilöprofiilien luomiseen arvailtuaan käyttäjän poliittisia tai etnisiä taustoja katseluhistorian perusteella.
Euroopassa on voimassa tiukempi tietosuojalainsäädäntö (GDPR), joka velvoittaa valmistajia avoimuuteen tällaisessa datankeruussa. Televisioyhtiöt ovatkin reagoineet ainakin näennäisesti: tutkimusten mukaan esimerkiksi Samsung ja LG käyttävät eri palvelinosoitteita ACR-datan lähettämiseen eri maantieteisillä alueilla, mahdollisesti sopeutuakseen paikallisiin tietosuojavaatimuksiin. Käytännössä eurooppalainen käyttäjä hyväksyy ACR-seurannan usein osana televisioiden pitkiä käyttöehtoja. Harva kuitenkaan ymmärtää, että “Katselutietojen kerääminen” tai vastaava ehto tarkoittaa konkreettisesti oman ruudun sisällön jatkuvaa valvontaa. Aihe nousee nyt uudelleen keskusteluun, kun tietoturvayhteisöt yhdistävät pisteet älytelevisioiden seurannan ja kryptovaluuttojen turvallisuuden välillä.
ACR:n voi kytkeä pois – näin suojaudut
Onneksi käyttäjällä on keinoja hallita tilannetta. Kaikissa suurimmissa älytelevisioissa ACR-seurannan voi kytkeä pois päältä, vaikkakin asetusten löytäminen voi olla monivaiheinen urakka. Samsungin televisioissa ACR kulkee nimellä “Viewing Information Services” (suomeksi esimerkiksi katselupalvelun tiedot tms.) ja löytyy Privacy- tai Tietosuoja-valikon alta. Samsungin uusissa malleissa oikea polku on tyypillisesti: Asetukset > Yleiset > Tietosuoja > Käyttöehdot ja tietosuoja. Sieltä käyttäjä voi poistaa rastin Katselutietojen kerääminen -kohdasta, mikä estää ACR:n toiminnan. Lisäksi samalla ruudulla on suositeltavaa kytkeä pois myös Henkilökohtaiset mainokset, jotta televisio ei kohdenna mainontaa katseluhistorian perusteella.
LG-televisiot käyttävät webOS-käyttöjärjestelmää, jossa ACR-toiminto tunnetaan nimellä Live Plus. LG vaatii käyttäjää hyväksymään joukon käyttäjäsopimuksia ensimmäistä kertaa televisiota asentaessa. Näihin kuuluu myös Katselutietosopimus (Viewing Information Agreement). Asetuksista pääsee näihin valintoihin myöhemminkin: polku on esimerkiksi Kaikki asetukset > Tuki > Yksityisyys & ehdot > Käyttäjäsopimukset. Listalta löytyy Katselutietojen käyttö tms., jonka valinnan voi peruuttaa. Kun tämän tallentaa, televisio yleensä käynnistyy uudelleen ja lopettaa ACR-datan lähettämisen. On hyvä huomioida, että LG:llä ääniohjauksen kaltaiset ominaisuudet saattavat vaatia katselutietojen hyväksynnän eli ACR:n poiskytkentä voi heikentää joitain älytoimintoja. Moni pitää tätä pienenä hintana yksityisyydestä.
Muiden valmistajien laitteissa on omat nimityksensä seurantatoiminnoille. Sony on integroitunut palvelun nimeltä Samba TV, joka kerää katseludataa; tämän voi kytkeä pois Asetukset > Järjestelmä > Samba Interactive TV -valikosta. TCL-merkkisissä televisioissa ACR:n voi estää peruuttamalla suostumuksen User Experience Improvement Program -ohjelmaan Yksityisyys > Käyttäjäsopimukset -kohdassa. Roku-älytelevisioissa (joskin Suomessa harvinaisempia) ACR löytyy Smart TV Experience -asetuksista nimellä Use info from TV inputs – tämä asetus poistamalla televisio lakkaa seuraamasta HDMI-lähteiden sisältöä.
Yksi varma tapa välttää ACR-seuranta on jättää älytelevisio kokonaan yhdistämättä internetiin. Jos televisiota haluaa silti käyttää suoratoistoon, voi harkita erillisiä mediatoistimia (kuten Chromecast tai Apple TV) ja pitää varsinainen televisio “tyhmänä näyttönä”. Useimmat älytelevisiot nimittäin lopettavat vakoilun, kun niillä ei ole nettiyhteyttä, vaikka ne yrittäisivätkin säännöllisesti lähettää tietoja. Joissain tapauksissa televisiot voivat yrittää kytkeytyä avoimiin Wi-Fi-verkkoihin, joten varmin tapa on kytkeä laitteen verkkosovitin pois tai estää liikenne reitittimeltä. Teknisemmät käyttäjät ovat ratkaisseet ongelman myös suodattamalla mainitut ACR-palvelinten verkko-osoitteet pois kotiverkosta esimerkiksi Pi-hole-suodattimen avulla.
Yksityisyys ja turvallisuus etusijalle
Älytelevisioiden sisältöskannaus on tuore esimerkki siitä, miten kotien uudet digilaitteet voivat tuoda mukanaan odottamattomia tietoturvahaasteita. Kryptovaluutat ovat arvokkaita digitaalisia omaisuuseriä, joiden turvaamiseen harrastajat ja sijoittajat käyttävät paljon vaivaa on kylmälompakoita, monivaiheista todennusta ja salattuja varmuuskopioita. Olisi ironista menettää kryptovarat siksi, että oma televisio nappaa kuvan salaisesta avainkoodista olohuoneessa. Tämän riskin välttämiseksi jokaisen kryptokäyttäjän on hyvä tiedostaa ACR-ominaisuuden olemassaolo. Mikäli televisiota on pakko käyttää isona näyttönä tärkeissä toimenpiteissä, kannattaa ainakin varmistaa, että ACR ja vastaavat tiedonkeruuasetukset on kytketty pois päältä. Varmuuden vuoksi herkimpiä avaintietoja ei silti kannata koskaan esittää minkään älylaitteen ruudulla, ellei ole aivan välttämätöntä.
Aiheen ympärillä keskustelu käy vilkkaana tietoturvapiireissä, ja on mahdollista, että valmistajat ja viranomaiset ottavat asiaan kantaa tulevaisuudessa. Kuluttajien tietoisuuden kasvaessa älytelevisioiden tietosuoja-asetukset saattavat muuttua selkeämmiksi, tai ainakin paine läpinäkyvyyteen lisääntyy. Kryptovaluuttojen käyttäjille viesti on joka tapauksessa selvä: tietoturva on kokonaisuus, jossa jokainen laite jopa televisio on syytä ottaa huomioon.
Lähteet
BGR – How To Prevent Your Smart TV From Spying On Your Activities – 23.10.2025, klo 18.17
https://www.bgr.com/1999199/how-to-prevent-smart-android-tv-spying-analytics-guide/
Risky Business News – Smart TVs take snapshots of what you watch – 7.10.2024
https://news.risky.biz/risky-biz-news-smart-tvs-take-snapshots-of-what-you-watch/
TechRadar – Crypto fans beware — hundreds of Android apps found using OCR to steal login details – 10.9.2024
https://www.techradar.com/pro/security/researchers-find-hundreds-of-android-apps-using-ocr-to-steal-login-details
The Markup – Your Smart TV Knows What You’re Watching – 12.12.2023, klo 15.00
https://themarkup.org/privacy/2023/12/12/your-smart-tv-knows-what-youre-watching
Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.
Kryptouutiset.net ei vastaa kaupallisen tiedotteen sisällöstä.
Coinmotion kutsukoodi on qayp1ovzrbk5r1kep1lk jolla saat -50% kaupankäyntikuluista 1kk ajaksi
