Philips-Fernseher mit WLAN-Backdoor
Mit dem jüngsten Firmware-Update hat sich ein ernsthaftes Sicherheitsproblem in die Smart-TVs eingeschlichen: Jeder in WLAN-Funkreichweite kann auf am Fernseher angeschlossene USB-Speicher zugreifen.
- Ronald Eikenberg
Das jüngste Firmware-Update für Smart-TVs von Philips reißt eine handfeste Sicherheitslücke in die Geräte: Nach der Installation kann sich jeder in Funkreichweite über WLAN mit dem TV verbinden und so auf private Mediendateien oder sogar Browser-Cookies zugreifen. Entdeckt wurde das Problem von der Sicherheitsfirma ReVuln.
Die Ursache hierfür ist eine Funktion namens Miracast, über die WLAN-Clients wie etwa Android-Tablets eine Direktverbindung mit dem Fernseher aufbauen können, um ihren Displayinhalt an ihn zu übertragen. Der Fernseher nimmt solche Verbindungsanfragen automatisch an. Bei den Philips-TVs ist Miracast allerdings offenbar falsch konfiguriert – die Direktverbindung ist eine vollwertige Netzwerkverbindung.
Der Client kann deshalb nicht nur seinen Displayinhalt schicken, sondern auch auf die Inhalte von an den Fernseher angeschlossenen USB-Speichermedien zugreifen und ihn komplett steuern. Auch das Ausnutzen von Sicherheitslücken gelingt über die Miracast-Verbindung; die Sicherheitsexperten von ReVuln demonstrieren, wie sie den Cookie-Speicher des auf dem Fernseher installierten Opera-Browsers abgreifen und sich anschließend mit einem kopierten Sitzungs-Cookie bei Gmail anmelden.
Betroffen sind nach derzeitigem Kenntnisstand die 2013-Modelle der Reihen 6, 7, 8, und 9xxx. Der Hersteller der Philips-TVs, TP Vision, bestätigte gegenüber heise Security das Problem. Das Unternehmen arbeite bereits an einer Lösung. "Im Moment empfehlen wir, Miracast im Menü vorübergehend zu deaktivieren", so TP Vision. (rei)
