Not so smart: Aktuelle Fernseher im Sicherheitscheck

Smart-TVs können nicht nur Zusatzinformationen zum aktuellen Fernsehprogramm geben, sondern auch das Facebook-Passwort der Benutzer verraten - und zwar an Angreifer aus dem Internet oder dem eigenen WLAN. Das hat ein Team der Ruhr-Universität Bochum bei einem Test aktueller Smart-TVs herausgefunden. Bei der Untersuchung von fünf Geräten von Samsung, Grundig, Apple, Google und Amazon simulierten die Wissenschaftler drei Angriffsszenarien.

Im ersten Fall hatte der Angreifer bereits Zugriff auf das WLAN des Opfers und schnitt den HTTP-Traffic der Geräte mit, um Daten abzugreifen. Das im Test genutzte WLAN war jedoch unverschlüsselt, was in der Praxis kaum mehr vorkommen dürfte. Denkbar wäre aber ein öffentliches, unverschlüsseltes Konferenz-WLAN, in dem auch Smart-TV-Geräte angemeldet sind. Zum Testen nutzte das Team um Marcus Niemitz das Tool Wireshark.

Vorinstallierte Apps sind ein Sicherheitsproblem

Die vorinstallierten Apps auf vielen der Geräte sind nach Meinung der Wissenschaftler ein Sicherheitsproblem. Die Apps für Facebook, Ebay und Viewster übertrugen die Anmeldedaten im Test unverschlüsselt. Angreifer könnten aus den Daten einen OAuth-Token generieren und mit diesem private Facebook-Nachrichten anzeigen oder in fremden Namen posten.

Auch auf dem Samsung-Gerät gab es Probleme: Watchever und die Immoscout24-App kommunizierten ebenfalls unverschlüsselt. Nicht immer liegt die Schuld bei den eigentlichen Diensteanbietern: alle auf dem Grundig-Fernseher getesteten Apps werden ausschließlich von der Firma Arcelikeapps hergestellt.

Angriff per USB-Stick

Die Forscher nahmen sich auch die USB-Konnektivität der Geräte vor. Sie installierten auf einem USB-Stick einen selbstprogrammierten Dateimanager, der ihnen Zugriff auf das lokale Dateisystem ermöglichte. Mit dem Programm gelang es schließlich, an vertrauliche Daten wie die WLAN-Konfiguration (inklusive Passwort), Cookies von Apps und Webseiten, den Browserverlauf und Facebook-Login Daten zu kommen. Viele Nutzerdaten liegen unverschlüsselt auf dem Gerät.

Bei dem dritten getesteten Angriff infizierten die Wissenschaftler eine App mit Malware und luden sie in den Appstore hoch. Mit dieser Methode soll es nach Angaben der Forscher möglich sein, die in den Fernseher integrierte Kamera zu aktivieren sowie das Gerät fernzusteuern und etwa die derzeit laufenden Fernsehprogramme zu verändern.

Nicht alle Plattformen gleich problematisch

Generell schnitten die Medienabspieler im Test - Googles Chromecast, Amazons Fire TV und das Apple TV - besser ab als die Smart-TV-Geräte von Samsung und Grundig. Bei Chromecast werden die auf dem jeweiligen Smartphone oder Tablet verwendeten Apps zur Authentifizierung und Steuerung der Funktionen verwendet. Diese sind, nach anfänglichen Schwierigkeiten, heute deutlich besser abgesichert als noch vor ein paar Jahren.

Auf Apples TV-Set-Top-Box übertrug nur die getestete Watchever-App die Anmeldedaten unverschlüsselt - und kann so die Sehgewohnheiten der Nutzer offenlegen. Die Video-App Vevo hingegen kommunizierte auf dem Apple-Gerät verschlüsselt, bei Samsung aber nicht.

Die Ergebnisse der Untersuchung sollen beim Secure Internet of Things Summit in Wien Ende September vorgestellt werden.