Smart-TVs von Samsung übers Internet angreifbar

Hacker können Apps auf internetfähigen Fernsehern von Samsung missbrauchen, um etwa den Besitzer aus der Ferne über Webcam und Mikrofon auszuspionieren. Das haben Aaron Grattafiori und Josh Yavor auf der IT-Sicherheitskonferenz Black Hat demonstriert. Anders als bei der im März dokumentierten Attacke brauchen laut dem Vortrag der beiden potenzielle Angreifer keinen Zugriff auf den Fernseher zu haben: sie haben die frei zugänglichen Firmware-Dateien analysiert.

Als Einfallstor können die auf jedem Smart-TV-Gerät von Samsung vorinstallierten Web-Anwendungen wie Skype oder Facebook dienen. Nach Aussage der Sicherheitsexperten hat Samsung die aus HTML- und JavaScript-Code bestehenden Apps auf Basis des Programmcodes entwickelt, den die Software-Hersteller liefern, und dabei anscheinend Fehler gemacht.

In der bis vor kurzem ausgelieferten Version von Skype steckten beispielsweise mehrere Command-Injection-Schwachstellen. Ein Angreifer, der in der Freundesliste des auf dem TV-Gerät bei Skype eingeloggten Anwenders steht, kann in einer Statusmeldung JavaScript-Code unterbringen, den die Skype-App verarbeitet. Im Ergebnis kann der Angreifer beispielsweise den Skype-Nutzernamen sowie das Passwort des TV-Besitzers auslesen. Da Skype auch Zugriff auf die API von Kamera und Mikrofon hat, sind laut Grattafiori und Yavor auf diesem Weg auch Wohnzimmerüberwachungen aus der Ferne machbar. Über eine Modifikation der App per Skript lässt sich sogar ein über den Neustart des Geräts hinausgehender Zugriff erlangen.

Auch der auf Webkit beruhende Browser der Smart-TVs lässt sich missbrauchen. In diesem Fall findet der zur Attacke notwendige JavaScript-Code seinen Weg über die URL der aufgerufenen Seite. Es genügt, den Anwender auf eine vom Angreifer kontrollierte Webseite zu locken, um dann per klassischer Drive-by-Attacke verschiedene Einstellungen des TV-Geräts zu verändern. Den Sicherheitsexperten zufolge ist es beispielsweise machbar, den DNS-Server-Eintrag zu überschreiben. Anwender könnten danach unbemerkt auf einer Phishing-Seite statt dem erwünschten Original landen: Die von Samsung angepasste Webkit-Version scheint TLS-Zertifikate nicht zu verifizieren und daher keine Fehlermeldung auszugeben, wenn das vom Phishing-Server präsentierte Zertifikat nicht zur aufgerufenen URL passt.

Der Browser hat ebenfalls Zugriff auf die zur Kontrolle der TV-Hardware notwendigen API, sodass ein Angreifer auch auf diesem Weg die Kamera missbrauchen kann, um deren Aufzeichnungen wahlweise in Form von Videostreams oder als Einzelbilder nach nach außen zu übertragen.

Laut Grattafiori und Yavor ist es möglich, über die genannten Einfallstore auch die Dateien anderer auf dem TV-Gerät installierter Apps zu modifizieren und mit Angriffscode zu versehen.

Die Hacker haben Samsung Anfang des Jahres über die Schwachstellen informiert. Daraufhin hat der Hersteller Updates für die genannten Apps veröffentlicht. Es ist derzeit aber unklar, ob diese für alle betroffenen TV-Modelle bereitstehen, oder ob Samsung sich möglicherweise nur um die von den Hackern verwendete 2012er-Modellreihe gekümmert hat. (se)