Smart TV: Ihr neuer Fernseher lässt sich hacken

Von und Richard Meusers

Smart TV: Hackbar über HbbTV Zur Großansicht
REUTERS

Smart TV: Hackbar über HbbTV

Die neuen Smart-TVs mit Internetzugang sind ein Einfallstor für Hacker. Nachbarn könnten nachgucken, was jemand gerade sieht, Angreifer das TV-Gerät sogar komplett kapern. Einer der Gründe: die Nachlässigkeit der Hersteller beim Thema Sicherheit.

Hamburg - Wer ein sogenanntes Smart TV sein Eigen nennt, kennt den roten Knopf: Beim Umschalten taucht er in einer eingeblendeten Leiste am unteren Bildschirmrand auf. Über die rote Taste an der Fernbedienung lassen sich dann Zusatzinhalte abrufen. IT-Sicherheitsforscher haben nun gezeigt, dass der Knopf Gefahren birgt: Er lässt sich theoretisch sowohl zum Ausspähen der Sehgewohnheiten missbrauchen als auch als Einfallstor für Hackerattacken.

Der Button gehhört zum TV-Standard HbbTV. Das Kürzel steht für Hybrid Broadcast Broadband TV und regelt die Art, wie TV-Geräte im laufenden Fernsehbetrieb auf Online-Inhalte zugreifen können. Der Button ist nicht Teil des normalen TV-Bilds: Er befindet sich auf einer weitgehend durchsichtigen Website, die über das TV-Bild gelegt wird. Jedes Mal, wenn man umschaltet, erscheint der rote Knopf. Und jedes Mal, wenn er erscheint, greift das TV-Gerät unbemerkt auf eine Website zu.

Das hat zur Folge, dass TV-Sender immer sehen können, auf welchen Smart TVs gerade ihr Programm läuft. Sie können zwar nicht den Namen des Nutzers herausfinden, aber seine IP-Adresse. Für die TV-Anbieter hat das interessante Folgen: "Die Sendeanstalt hat die Möglichkeit, durch gezieltes Tracking genauere Einschaltzahlen zu ermitteln, und dies sogar in Echtzeit, und personalisierte Werbung zu buchen", schreiben Sicherheitsforscher um Marco Ghiglieri von der TU Darmstadt in einem Forschungsbericht. Wer das W-Lan eines TV-Nutzers überwacht, könnte mit einigen Tricks sogar herausfinden, was gerade läuft auf dem Smart TV.

Weitere Lücke: Angreifer übernimmt Kontrolle über TV-Gerät

Eine weitere Lücke im System HbbTV hat der Sicherheitsforscher Martin Herfurt entdeckt. Die könnte Angreifern weitreichende Kontrolle über Smart TVs erlauben.

Der Angriffsweg liefe über die Adresse, von der das TV-Gerät die Seite mit dem roten Knopf bezieht, so Herfort: "Der Fernseher ruft ohne Rückfrage den Inhalt auf, den ihm die ins Sendesignal eingebettete URL vorgibt." Gelingt es einem Angreifer, diese Adresse zu manipulieren oder dort andere, bösartige Inhalte zu hinterlegen, kann er einiges mit einem Smart TV anstellen. All das werde auch durch den Umstand erleichtert, dass keiner der TV-Sender, der auf HbbTV setzt, eine SSL-Verschlüsselung nutze, sagt Herfurt. Damit werde der Manipulation durch Dritte Tür und Tor geöffnet.

Den Fernseher zu einer falschen Seite umzuleiten, erfordert aber einigen Aufwand. Mehrere Angriffswege sind grundsätzlich denkbar:

  • Der Angreifer könnte das TV-Signal durch ein eigenes ersetzen, das dann eine Umleitung zu einer Website mit Schadcode enthält - das allerdings wäre technisch extrem schwierig.
  • Über eine Technik namens DNS-Spoofing wäre es möglich, dass statt des echten roten Knopfs eine falsche IP-Adresse aufgerufen wird - auch das erfordert einen aufwendigen, aber durchaus möglichen Angriff. Möglich wären auch sogenannte Man-in-the-middle-Attacken, mit dem gleichen Ergebnis: Der Angreifer könnte die eigentlich vorgesehenen Inhalte des Senders durch eigene ersetzen.
  • Die rabiateste, aber auch erfolgversprechendste Methode: Der Angreifer könnte sich die Herrschaft über den HbbTV-Server des jeweiligen Senders verschaffen - und zumindest das hält Herfurt für durchaus denkbar. Die Frage ist, wie gut die Systeme der TV-Anbieter gegen Attacken von außen abgesichert sind.

Doch was könnte man dann mit dem gekaperten TV-Gerät anstellen? Die einfachste Variante wäre der Aufruf einer vom Angreifer gewählten Website. Wie in Hollywood-Filmen, in denen der Bösewicht plötzlich auf allen TV-Geräten erscheint, um den bevorstehenden Weltuntergang zu verkünden.

Die Liste der Möglichkeiten reicht von gefälschten Nachrichtentickern über die Übernahme weiterer Geräte im Heimnetzwerk des Betroffenen bis hin zum Bitcoin-Mining. Bei Letzterem lassen Cyber-Gauner befallene Computersysteme zu ihren Gunsten arbeiten und heimlich digitales Geld verdienen. Diese Art des illegalen Nebenerwerbs hat unter Online-Kriminellen schon länger Fans.

Herfurts Fazit: Bei den Herstellern von TV-Geräten herrsche Nachholbedarf. Ihnen "scheint das Know-how in Sachen IT-Sicherheit zu fehlen, sie müssen von anderen Branchen lernen". Es sei nur eine Frage der Zeit, bis die Angriffsmöglichkeiten auch tatsächlich ausgenutzt würden.

Johannes Schmidt, Geschäftsführer des Unternehmens MIT-Xperts, das unter anderem HbbTV-Lösungen für ARD und ZDF entwickelt, bestätigt Herfurts Einschätzung im Prinzip: "Diese Chance besteht theoretisch." Es sei aber "wie bei jeder anderen Website auch: Man muss schon viel anstellen, um jemandem eine gefälschte Seite unterzujubeln". Gerade bei der Vielzahl von Smart-TV-Geräten mit ihren diversen Betriebssystemen glaubt Schmidt: "Exploits für TV-Geräte zu schreiben, lohnt im Moment den Aufwand einfach noch nicht."

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 47 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
donload 07.06.2013
anscheinend fehlt spon auch das knowhow in sachen IT, anders könnte ich mir diesen artikel nicht erklären
2.
mindphuk 07.06.2013
Zitat von sysopDie neuen Smart-TVs mit Internetzugang sind ein Einfallstor für Hacker. Nachbarn könnten nachgucken, was jemand gerade sieht, Angreifer das TV-Gerät sogar komplett kapern. Einer der Gründe: die Nachlässigkeit der Hersteller beim Thema Sicherheit. HbbTV: Sicherheitslücke in Smart TVs entdeckt - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/netzpolitik/hbbtv-sicherheitsluecke-in-smart-tvs-entdeckt-a-904086.html)
"Das ist extrem schwierig" und "das lohnt doch nicht" sind nie gute Sicherheitskonzepte, denn beides ist relativ. Es ist auch "extrem schwierig", Werbeprovider zu hacken, und in die Werbebanner Exploits für gängige Plugins einzubauen, trotzdem wird und wurde das mehrfach gemacht und das Lohnen kommt mit der Verbreitung der Systeme. Wer ernsthaft und professionell in der IT-Security arbeitet weiß, dass "der Andere" im Worst Case immer ein bisschen mehr weiß, als man selber. Und die DNS-Einstellungen lassen sich auch meistens relativ einfach überdie Router manipulieren, denn die vergeben in Heimnetzen fast immer die IP-Konfigurationen und damit auch die DNS-Server, und dass Heimrouter voller Lücken sind, haben die Nachrichten oft genug berichtet. Und täglich grüßt die Router-Lücke | heise Security (http://www.heise.de/security/meldung/Und-taeglich-gruesst-die-Router-Luecke-1846882.html)
3. Welch Glück ...
ratem 07.06.2013
Welch ein Glück, dass die Nutzung der HbbTV-Funktion meinen Philips Smart-TV in kurzer Zeit zum Absturz bringen (dank ziemlich schlechter Firmware). Da macht diese Funktion so wenig Spass, dass ich sie einfach ganz ausgeschaltet habe.
4. funktioniert ...
yarikata 07.06.2013
aber nur, wenn das Gerät auch wirklich am Netz angeschlossen ist. Ansonsten kann man angstfrei weiterschauen :)
5. En vogue
nilsb 07.06.2013
Es ist schade, dass Medien aller Art ständig von neuen, vor allem internetbasierten Produkten bzw. Anwendungen so negativ berichten, ohne darzustellen, was der Vorteil dieser oder jener Technik ist. Es ist offensichtlich Mode (oder vielleicht auch nur deutsche Eigenart) hinter allem den schwarzen Peter zu sehen. Bestes Beispiel auch hier wieder: HbbTv als hilfreiche und zeitgemäße Anwendung zu präsentieren, ist offensichtlich nicht die Idee der Redaktion gewesen. Auch etwaige Abwehr- bzw. Präventionsmaßnahmen gegen einen abwegigen, weil zu aufwendigen Angriff werden nicht präsentiert. Dass sich bei jedem Smart TV die HbbTV-Funktion auch abschalten lässt, war offenbar niemandem bewusst! Aber spielen wir das ganze mal durch: Irgendein gelangweilter Hacker schreibt eine Website, die also unsere HbbTV Anfrage des heimischen Nicht-Röhrengeräts abfängt. Und nun? Er könnte jetzt auf mein Heimnetzwerk zugreifen. Jeder Anwender hat aber i.d.R. eine Firewall vom Router und ein Anti-Virus-Programm auf dem Rechner. Wenn man sich Schadsoftware einfängt, dann doch noch eher über den normalen PC/Laptop/Mac. Den Umweg über den TV zu nehmen lohnt, wie zum Glück im Artikel im allerletzten Satz erwähnt, nicht. Was bleibt ist aber ein ungutes Gefühl, mit dem der Nutzer/Kunde in das Ladengeschäft kommt und nun auf keine Fall einen SmartTV haben will. Und wir Verkäufer müssen ihm dann wieder diese Flausen aus dem Kopf beraten. Das machts nicht leichter für den Einzelhandel und am Ende auch nicht für den Kunden....
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Web-TV
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 47 Kommentare
  • Zur Startseite
Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.