Ein neuer Fall zeigt auf, wie ungesichert vernetzte (Entertainment-)Geräte im Haushalt grundsätzlich sind: der Schweizer Security Forscher Rafael Scheel hat gezeigt, daß Smart TVs mittels manipulierter DVB-T Signale gehackt und vollständig der externen Kontrolle unterworfen werden können. Dies kann - je nach Fähigkeit des vernetzten Smart TVs - dazu genutzt werden, um das Gerät DDoS Angriffe ausführen zu lassen, den Besitzer über die in manchen TVs für Sprachbefehle eingebauten Mikrofone zu belauschen oder per (eigentlich für Skype-Gespräche gedachte) Kamera zu filmen.
Anders als bisherige Angriffe auf Smart TVs (wie etwa der vor kurzem aufgedeckte " Weeping Angel"-Angriff der CIA) benötigt der neue Hack keinen physikalischen Zugang zu den Fernsehern (wie z.B. über USB). Der Angriff läuft per DVB-T Funk im Hintergrund ab und bleibt so vom User unbemerkt. 90% der in den letzten Jahren verkauften Fernseher sollen über den Hack, welcher eine Sicherheitslücke im Hybrid Broadcast TV (HbbTV) Protokoll nutzt, potentiell angreifbar sein.
Ein eigener, für den Angriff nutzbarer DVB-T Sender ist schon für 50-150 Dollar zu haben. Da Fernseher sich automatisch mit dem Sender verbinden, welcher das stärkste DVB-T Signal aussendet, kann so ein lokaler DVB-T Hack-Sender leicht im nahen Umkreis den Empfang offizieller Sender übertönen. Und da der Hack nur in eine Richtung geht und in kurzer Zeit vonstatten geht, ist sein Urheber im Nachhinein kaum ausfindig zu machen.
Die Lücke besteht in der Möglichkeit, den Fernsehern per HbbTV den Befehl zu übermitteln, eine beliebige Website im Hintergrund zu laden. Über einen auf dieser Website eingebetteten Exploit-Code (einer von vielen, da es viele ungepatchte Samrt TV Browser Sicherheitslücken gibt) kann der TV-interne Browser gehackt und dazu genutzt werden, per Root-Access beliebige Befehle auszuführen.
Smart TVs bieten sich für einen Angriff besonders an, da es nur relativ wenige grundlegende Smart TV Betriebssysteme samt Software gibt, welche zudem auch kaum regelmäßig mit Sicherheitsupdates versorgt werden. Und ist das System erst einmal kompromittiert, besteht dank des tiefgreifenden Zugriffs kaum eine Möglichkeit den Fernseher sicher wieder zu des-infizieren. Die Verwundbarkeit existiert potentiell auch für DVB-C und IPTV (TV per Internet), da beide auch HbbTV unterstützen.
Grundsätzlich führt der Hack wieder einmal vor, daß im Internet der Dinge, welches alle möglichen Geräte per IoT (Internet of Things) zugänglich macht, Sicherheit kaum existiert - sei es zum Schaden anderer/aller (wenn diese Geräte etwa für Distributed Denial of Service Attacken genutzt werden, um Internet-Server auszuschalten) oder zum Schaden des Besitzers (wenn die Geräte genutzt werden, um ihn selbst auszuspionieren und/oder zu erpressen). Der Phantasie sind in Zukunft wohl kaum Grenzen gesetzt, grade da viele dieser Sicherheits-Lücken systembedingt kaum patchbar sind und die Geräte trotzdem weiterverkauft werden und da Sicherheitsbedenken kaum eine große Rolle für die meisten Käufer spielen.
mehr Bilder zur News:
