Messaggio Polyfill su TV Samsung con richiesta nome utente e password: come risolvere

Una finestra pop-up comparsa all’improvviso su centinaia di smart TV Samsung ha creato parecchia confusione tra gli utenti italiani. Il messaggio, associato al nome Polyfill, chiede l’inserimento di credenziali personali e, in molti casi, resta visibile anche dopo il cambio canale. Il problema ha iniziato a diffondersi attraverso forum ufficiali, gruppi social e community tecniche dedicate ai televisori Samsung, coinvolgendo modelli differenti basati su sistema operativo Tizen.

La schermata Polyfill.io, con richiesta di nome utente e password, si sovrappone al contenuto televisivo e sembra resistere perfino a diverse procedure di riavvio. In una fase in cui le smart TV integrano sempre più funzioni online, servizi interattivi e componenti web, episodi di questo tipo mostrano quanto il confine tra trasmissione televisiva tradizionale e applicazioni Internet sia ormai diventato sottile.

Gran parte dei modelli TV Samsung distribuiti in Italia supporta lo standard HbbTV 2.0.4, tecnologia che permette alle emittenti di offrire contenuti interattivi direttamente sopra il segnale televisivo tradizionale. Proprio qui si trova l’origine dell’anomalia segnalata dagli utenti.

Perché compare il riferimento a Polyfill

Il termine Polyfill non identifica di per sé un malware. In ambito web, polyfill è un componente software che aggiunge funzionalità moderne a browser più datati o privi di determinate API. Per anni il dominio polyfill.io ha distribuito automaticamente librerie JavaScript adattate al dispositivo che effettuava la richiesta.

Va detto però che il nome Polyfill è finito più volte al centro di discussioni legate alla sicurezza. Nel 2024 diversi ricercatori avevano già evidenziato criticità dopo il cambio di proprietà del dominio polyfill.io, con il rischio che script caricati da siti terzi potessero essere modificati o sfruttati per distribuire contenuti indesiderati. Per questo motivo molte aziende avevano deciso di sostituire quel servizio con repository interni o CDN alternative.

Nel caso delle smart TV Samsung italiane non esistono al momento conferme ufficiali che parlino di compromissione del dispositivo. L’ipotesi più accreditata punta piuttosto verso un contenuto HbbTV (Hybrid Broadcast Broadband TV, standard che integra il segnale televisivo tradizionale con contenuti e servizi distribuiti tramite Internet) mal configurato o distribuito tramite infrastrutture esterne che richiamano risorse associate a Polyfill.

Il possibile ruolo di HbbTV nella comparsa del messaggio

HbbTV è uno standard nato per integrare la diffusione televisiva via antenna con i servizi online: consente per esempio di visualizzare replay, guide avanzate, statistiche sportive, televoto e contenuti aggiuntivi sfruttando la connessione Internet della TV.

Quando un utente si sintonizza su un canale compatibile, il televisore scarica componenti HTML, JavaScript e altri elementi remoti. Dal punto di vista tecnico il sistema funziona come una sorta di browser incorporato: eventuali errori nei servizi utilizzati dalle emittenti possono però propagarsi direttamente sullo schermo dell’utente.

Diverse testimonianze indicano infatti che il pop-up compare soltanto su specifici canali del digitale terrestre e tende a ripresentarsi dopo ogni nuova inizializzazione del servizio interattivo. Un comportamento del genere risulta compatibile con un’applicazione HbbTV difettosa, un errore di rendering oppure il caricamento di script esterni non più raggiungibili correttamente.

Situazioni simili sono già emerse anche in altri Paesi europei. Alcuni utenti Samsung in Germania avevano segnalato schermate persistenti associate a servizi HbbTV malfunzionanti, risolte proprio attraverso la disattivazione dello standard interattivo.

Perché il riavvio non elimina il problema

Molti possessori delle TV coinvolte hanno provato a spegnere e riaccendere il dispositivo, cancellare la cronologia oppure effettuare un soft reset tramite pressione prolungata del tasto di accensione. In numerosi casi la soluzione non ha funzionato.

La spiegazione è abbastanza semplice: se la sorgente dell’errore arriva da un servizio remoto richiamato automaticamente all’apertura di un canale, il televisore continuerà a scaricare nuovamente lo stesso contenuto ogni volta che l’applicazione HbbTV viene avviata.

Guardate inoltre l’indirizzo riportato nella schermata che appare sul TV Samsung: se si incolla questo indirizzo nel browser su PC (anteporre https://) si ottiene una richiesta di inserimento dati di autenticazione: polyfill.io/v3/polyfill.min.js.

Cosa significa? Che i moduli HbbTV utilizzati da vari canali si servono del componente JavaScript polyfill.min.js ospitato sulla CDN di Polyfill ma nel frattempo è cambiato qualcosa lato server, con l’attivazione di una richiesta username/password.

Come regola generale, non bisognerebbe affidarsi a server gestiti da terzi ma ospitare i file JavaScript su CDN gestite in proprio. Si pensi al caso peggiore: l’inserimento di codice JavaScript malevolo da parte di un soggetto terzo si propagherebbe immediatamente su tutti i clienti degli utenti (in questo caso i TV).

Ovviamente non vanno comunque inseriti dati personali nella schermata di login che riporta il riferimento a Polyfill.

Come eliminare la schermata bloccando HbbTV

La soluzione che ha mostrato i risultati più efficaci consiste nella disattivazione completa del servizio HbbTV, che potrà essere eventualmente riabilitato una volta risolto il problema. Sui televisori Samsung compatibili è generalmente sufficiente entrare nelle impostazioni di trasmissione, aprire le opzioni avanzate e individuare la voce dedicata a HbbTV.

Dopo la disattivazione, il televisore smette di caricare i contenuti interattivi distribuiti dalle emittenti e il pop-up non dovrebbe più comparire: l’utente perde alcune funzionalità accessorie ma, in compenso, elimina alla fonte il problema.

Sulla complessità delle smart TV moderne

La vicenda mostra un aspetto spesso sottovalutato. Una smart TV non è più soltanto un ricevitore televisivo: integra browser, motori JavaScript, applicazioni cloud, sistemi pubblicitari, servizi di telemetria e componenti che dialogano costantemente con server remoti.

Quando uno di questi elementi smette di funzionare correttamente, gli effetti possono diventare immediatamente visibili all’utente finale. Il problema osservato sulle TV Samsung italiane sembra confermare proprio questo scenario: un’anomalia nata probabilmente all’interno della catena di distribuzione dei contenuti interattivi e capace di compromettere l’esperienza televisiva in pochi minuti.

Resta ora da capire se Samsung o i fornitori coinvolti pubblicheranno una spiegazione tecnica dettagliata. Fino a quel momento la raccomandazione più sensata resta la stessa: non inserire alcuna credenziale nel pop-up, disattivare HbbTV se necessario e mantenere aggiornato il firmware del televisore.

Ovviamente, lo stesso identico problema può presentarsi su qualunque pagina web che a sua volta richiami l’URL Polyfill riportato in precedenza. Come accennato poco fa, è sempre fortemente sconsigliato, per gli sviluppatori, scaricare codice inglobato in pagina da server remoti, soprattutto quando il codice è caricato in tempo reale da un dominio esterno che non è sotto il proprio controllo diretto.

Nel caso di Polyfill.io il dominio passò a nuovi proprietari ed emersero timori legati a possibili modifiche malevole del codice distribuito. Per questo motivo molti enti di sicurezza, tra cui CERT-AgID, hanno raccomandato di rimuovere i riferimenti a quel servizio e di ospitare localmente i file polyfill necessari oppure utilizzare alternative sotto controllo diretto.