Heimkinotrends.de Das Magazin für Heimkino am Puls der Zeit
Eigentlich war es nur eine Frage der Zeit, bis Angreifer auch die zahlreichen Internetfunktionen moderner Fernseher und Medienplayer als Ziel für ihre Attacken ins Auge fassen. Im Grund besteht ein Smart-TV auch nur aus einem Fernseher mit integriertem Computer – inklusive fehleranfälligem Betriebssystem. Die Möglichkeit, mit modernen Fernsehern, Blu-ray-Playern und Medienplayern jederzeit auch im Internet surfen zu können ist dabei zwar praktisch für den Anwender aber leider eben auch für den Angreifer, erlangt er so doch eine recht bequeme Möglichkeit zum Zugriff auf die Heimunterhaltungselektronik.
Das maltesische Sicherheitsunternehmen ReVuln hat nun in Samsungs Smart-TVs eine erschreckende Sicherheitslücke entdeckt. Sollten Angreifer diese Lücke ausnutzen, könnten sie nicht nur die Konfiguration des Fernsehers manipulieren, die Fernbedienung steuern und anderen Schabernack treiben sondern auch Dateien und Inhalte auslesen. Zudem könnte ein Angreifer Malware auf dem TV installieren und so das gesamte Gerät kontrollieren. ReVuln will in Zukunft auch weitere Heimunterhaltungselektronik auf Sicherheitslücken untersuchen und den Herstellern die so gesammelten Informationen zum Kauf anbieten. Der nun bei Samsungs Smart-TVs gefundene Exploit soll allerdings nicht veröffentlicht werden, so dass Angreifer selbst tätig werden müssten – nun, wo sie wissen, dass sich hier ein interessantes Angriffsfeld verbirgt.
Wer sich jetzt denkt, “ich mache mit dem Fernseher ja nun nichts wichtiges, mir doch egal”, sollte sich ins Gedächnis rufen, was einige Smart-TVs inzwischen alles können – und was ein Angreifer damit ebenfalls könnte. Integrierte Webcams und Mikrofone können zum Ausspionieren des Wohnzimmers genutzt werden, es können Übersichten mit geschauten Filmen und gehörter Musik übertragen werden, der Inhalt der im Netzwerk verbundenen Festplatten lässt sich ebenfalls auslesen und im Zweifel direkt zum Angreifer übertragen. Auf dem TV eingegebene Passwörter, beispielsweise für soziale Netzwerke oder Mailkonten, Onlineshopping oder den bevorzugten Videodienst und den Appstore des Herstellers sind ebenfalls unsicher. Wer das Passwort eines solchen Dienstes besitzt, kann unter Umständen auch auf die dort eventuell hinterlegten Kreditkarten- oder Bankdaten zugreifen. Dazu kommt, dass oft nur ein Passwort für viele Dienste genutzt wird, mit ein wenig Ausprobieren kann ein Angreifer daher auch auf andere, nicht direkt verknüpfte Dienste, zugreifen.
Beispiel: Das Passwort für Maxdome und den eMail-Anbieter ist identisch, der Angreifer erlangt durch eine Sicherheitslücke im Fernseher Zugriff auf das Maxdome-Passwort und sieht die dort hinterlegte eMail-Adresse. Nun ist es ihm ein Leichtes, das Passwort beim Mailanbieter auszuprobieren und Zugriff auf die Mails zu bekommen. Über die “Passwort zurücksetzen”-Funktion vieler Dienste kann er sich nun Mails mit neuen Passwörtern für andere Dienste an eben diese Adresse schicken lassen und so mit wenig Aufwand fast die gesamte digitale Identität des Nutzers übernehmen.
