Spion im Wohnzimmer: c't entdeckt SicherheitslĂĽcken in zahlreichen Smart-TVs

Nicht nur Datenschnüffeleien, auch noch Sicherheitslecks: Bei drei von fünf untersuchten Smart-TVs kann man die Verschlüsselung knacken – zum Beispiel beim Online-Banking. Die Hersteller versprechen Firmware-Updates.

In Pocket speichern vorlesen Druckansicht 141 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

c't 4/14

c't hat in drei von fünf untersuchten Smart-TVs handfeste Sicherheitslücken entdeckt, die es Angreifern erlauben, verschlüsselte Verbindung zu knacken und zum Beispiel Zugangsdaten abzugreifen. Die Lücken klaffen in aktuellen TV-Modellen von LG (42LN5758), Philips (65PFL9708S) und Samsung (UE46F5370SS). Wie die Hersteller gegenüber c't einräumten, sind nicht nur die von uns untersuchen Modelle anfällig, sondern diverse aktuelle Smart-TVs der Marken.

Die Geräte patzen bei der Überprüfung der Ihnen vorgesetzten SSL-Zertifikate, wodurch man sich mit überschaubaren Aufwand in den verschlüsselten Datenverkehr einklinken kann. Bei LG gelang es uns so etwa, die in die Lovefilm-App eingetippten Zugangsdaten mitzuschneiden. Diese Login-Daten passen oft auch bei Amazon. Bei Philips und Samsung konnten wir sogar HTTPS-Webseiten entschlüsseln, die mit den Browsern der Fernseher abgerufen wurden. Wer mit diesen Geräten Online-Banking betreibt, handelt leichtsinnig.

Verwundbare Smart-TVs (3 Bilder)

LG 42LN5758

(Bild: LG)

Die Hersteller versprechen, die Krypto-Patzer zu beseitigen und abgesicherte Firmware-Versionen zu veröffentlichten. Wann diese erscheinen, ist jedoch noch unklar. Bis dahin sollten die Besitzer betroffener Geräte davon absehen, damit vertrauliche Daten zu übertragen.

c't hat eine Reihe aktueller Smart-TVs im Labor aufgebaut, um zu überprüfen, welche Daten abfließen, wenn man die Geräte mit dem Internet verbindet. Ohne dass wir eine der Online-Funktionen aktivierten, schickten die Geräte bereits umfassende Daten über das Nutzungsverhalten ins Netz. Und zwar nicht nur an die Sendeanstalten, sondern auch an die TV-Hersteller – und sogar an die Datenkrake Google.

Dafür ist vor allem der Datendienst HbbTV verantwortlich, über den die TV-Sender den Fernseher anweisen können, eine bestimmte URL abzurufen. Und zwar genau in dem Moment, wenn man den Sender einschaltet. Nach Einschätzung von Datenschutzexperten ist dies ganz klar rechtswidrig, da die ungefragt übertragenen Daten personenbeziehbar sind.

Siehe dazu auch:

Alle Details lesen Sie in c't 4/14, die seit dem heutigen Montag am Kiosk ausliegt. Dort erfahren Sie auch, welche Daten Ihr Fernseher ohne Ihr Wissen ins Internet schickt. Beim Umschalten nehmen Smart-TVs immer wieder Kontakt mit dem Internet auf, wodurch der jeweilige Sender erfährt, wann Sie zuschalten – und oft auch, wie lange sie dran bleiben. Auch die Google sitzt bereits mit im Boot.

(rei)