Smart-TV-Studie: Amazon Fire TV und Roku sind Datenschleudern
Streaming-Boxen von Amazon und Roku gucken dem Nutzer beim Videoschauen über die Schulter und senden vertrauliche Daten teils unverschlüsselt an Dritte.
Nicht nur beim Surfen im Web, über Apps auf dem Smartphone oder via Sprachassistenten werden Anwender ausgespäht, sondern auch beim Abrufen von Videos. Forscher der Princeton-Universität haben erstmals die Streaming-Boxen von Amazon und Roku unter die Lupe genommen und herausgefunden, wohin die Online-Geräte teils sehr persönliche Daten über die Nutzer senden. Klar wird damit, dass eine Reihe von Firmen ziemlich genau nachvollziehen, was die Nutzer wann schauen und darauf basierend ausgefeilte Profile erstellen können.
Fast alle Channels reden mit Trackern
Um den Informationssammlern auf den Smart-TV-Boxen auf die Spur zu kommen, haben die Wissenschaftler vom Center for Information Technology Policy und der Inspire Research Group ein Werkzeug programmiert, das tausende Kanäle auf den Streaming-Geräten installiert. Käufer können generell diverse solche "Channels" abonnieren, etwa Netflix, Hulu, YouTube oder traditionelle TV-Programme. Der von dem Team erstellte Crawler startet einen solchen Kanal und tut so, als ob er darüber ein Video schaut. Dabei belauscht das aus verschiedenen Hard- und Softwarekomponenten bestehende System den Netzwerkverkehr mit einem Proxy.
Insgesamt haben die Forscher laut der Studie so über 2000 Streaming-Kanäle der beiden "Over the Top"-Anbieter analysiert. Dabei stellten sie fest, dass 89 Prozent der Channels von Amazon Fire TV und 69 Prozent von Roku mit bekannten Trackern kommuniziert haben. Die Datensammel-Funktionen sprachen dabei auf beiden Geräten am häufigsten Domains von Google und Facebook wie doubleclick.net, google-analytics.com, googlesyndication.com oder facebook.com an. In 687 der am häufigsten abonnierten Fire-TV-Kanäle tauchten zudem Verbindungen zu amazon-adsystem.com auf. Auch die Marketingplattformen Score Card Research und Spotxchange wurden rege mit Messwerten versorgt. Dazu kamen kaum bekannte Netzwerke wie adrise.tv oder monarchads.com.
Geodaten, Geräteadresse, WLAN-SSID übermittelt
Einzelne Kanäle kontaktierten laut der Untersuchung bis zu 60 Tracker gleichzeitig und teilten mit diesen nicht nur Geodaten, sondern etwa auch die Gerätenummer, die MAC-Adresse, gegebenenfalls die WLAN-Kennung sowie die Titel der abgerufenen Videos. Der Nutzer wird damit nahezu gläsern. 79 Prozent der Channels von Roku und 76 Prozent der auf Fire TV verschickten die Informationen zudem jeweils mindestens einmal unverschlüsselt über das Standard-Webprotokoll HTTP. Auf der Roku-Plattform entdeckten die IT-Sicherheitsexperten quasi nebenbei noch eine Schwachstelle, die es böswilligen Webseitenbetreibern ermöglichte, Anwender zu orten, ihre Geräte zu identifizieren und Kanäle ohne ihre Einwilligung zu installieren.
Beide Anbieter der Geräte, die selbst in Luxusvarianten kaum mehr als 150 Euro kosten und daher auf Datenextraktion angelegt sind, erlauben Nutzern zwar zumindest, die personalisierte Werbeansprache abzustellen. Damit wird aber nur eine spezielle Banner-Kennung nicht mehr verfolgt, wohl aber die gesamte restliche Information zur Identifizierung von Geräten und gegebenenfalls auch einzelnen Nutzern.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Selbstregulierung beim Datenschutz reicht nicht aus
Die Forscher fordern daher bessere Optionen für den Datenschutz, vergleichbar etwa zu einem "Privaten Modus" bei Web-Browsern. Zudem seien Transparenz- und Löschfunktionen nötig. Unsichere Verbindungen dürften zudem nur noch in Einzelfällen auf Anfrage hin unterstützt werden. Letztlich sieht das Team den Gesetzgeber gefordert, da die Selbstregulierung angesichts des praktizierten Geschäftsmodells kaum ausreichen dürfte.
Weiteren Streaming-Plattformen wie Apple TV wollen die Wissenschaftler nach eigenen Angaben in künftigen Arbeiten auf den Zahn fühlen. Da jedes System mit eigenen Schnittstellen und Funktionalitäten aufwarte, müssten diese erst nach und nach in den Crawler integriert werden. Auch eine Liste der IP-Adressen der ausgemachten Tracker-Domains will die Gruppe noch veröffentlichten, um deren Blockade zu vereinfachen. Roku ist hierzulande noch nicht so bekannt wie Amazon Fire TV. Der US-Hersteller hat aber etwa den Streaming-Stick von Sky entwickelt. Was Smart-TV-Geräte generell ins Internet übermitteln und wie leicht sie sich hacken lassen, hat c't voriges Jahr analysiert.
Update 14.10.2019: Ein Amazon-Sprecher verweist gegenüber heise online darauf, dass Besitzer eines Fire TV die Datennutzung zu Werbezwecken in den Einstellungen des Geräts abschalten können. "Für den Fall, dass Kunden interessenbasierte Werbung deaktivieren, verlangen wir von App-Entwicklern, dass sie die Werbe-ID dieser Kunden nicht verwenden, um Benutzerprofile für Werbezwecke zu erstellen oder interessenbasierte Anzeigen anzuzeigen", führt der Sprecher aus. "Wir schreiben auch vor, dass alle Anwendungen von Drittanbietern, die personenbezogene Daten von Fire TV-Benutzern erfassen, eine Datenschutzerklärung beinhalten müssen, die erklärt, welche Daten von Kunden erfasst und wie sie verwendet werden." (tiw)
