Datenleck: Android-TV kann E-Mails und Dateien von Nutzern offenlegen
Auf Smart-TVs mit Android lassen sich Gmail-Postfächer und Cloud-Speicher ausspähen. Ein physischer Gerätezugriff ist nötig, die Sache trotzdem problematisch.
Einige Smart-TVs, Set-Top-Boxen und Streaming-Sticks mit dem Betriebssystem Android TV können den Inhalt der E-Mail-Postfächer sowie anderer mit einem Google-Konto verknüpften Dienste wie Cloud-Speicher enthüllen. Ein Angreifer benötigt dafür zwar physischen Zugriff auf das Gerät. Ein aktueller Fall zeigt trotzdem, wie ein unachtsamer Umgang mit Google-Konten zu unerwünschten Datenlecks führen kann, selbst bei Produkten jenseits von PCs oder Smartphones, die nicht primär auf die Verarbeitung persönlicher Informationen ausgerichtet sind. Besonders problematisch sein dürfte die Sicherheitslücke etwa bei Android-TVs in Unternehmen sein, die weiterverkauft, verschenkt oder unsachgemäß entsorgt werden. Ein anderes Szenario sind mehr oder weniger öffentlich zugängliche Geräte, etwa in Wartebereichen wie denen einer Arztpraxis.
Der YouTuber Cameron Gray bemerkte die Angriffsmöglichkeit prinzipiell bereits vor ein paar Monaten bei der Konfiguration eines Android-Fernsehers. Google hat das Problem aber erst jetzt nach dem Einschalten von Politik und Medien eingeräumt. Gray warnt in dem Video, dass "man sich niemals mit einem Google-Konto bei einem Android TV-Gerät anmelden sollte, das sensible Daten enthält". Weit über die Nutzung typischer und erwünschter Fernsehfunktionen wie YouTube hinaus könnten Cyberkriminelle "im Wesentlichen auf alles über Ihr Google-Konto zugreifen kann, und dazu gehören E-Mails über Gmail, Dateien über Google Drive oder sogar Services, bei denen Sie sich über Google bei einem externen Dienst angemeldet haben".
Ăśber einen Umweg kommt Chrome auf Android-TV
Der Exploit setzt auf die Google-Kontoanmeldung von Android. Diese ermöglicht es Nutzern prinzipiell, sich automatisch bei ihren Apps anzumelden, ohne jedes Mal Login-Daten eingeben zu müssen. Bei Android TV hat Google bewusst den Chrome-Browser außen vor gelassen, um die Kontofunktionen möglichst auf Streaming- und Social-Media-Aktivitäten zu beschränken. Es gibt aber Umgehungsmöglichkeiten. So installierte Gray zunächst den Browser "TV Bro" auf seiner Set-Top-Box mit Android TV und lud damit dann Chrome aus dem auf Android-Software spezialisierten Download-Archiv APKPure herunter. Beim Starten von Chrome bemerkte er, dass er nicht zur Eingabe des Passworts für sein Google-Konto aufgefordert wurde. Stattdessen nutzte der Browser das vorhandene Login des Android-Betriebssystems selbst, das Gray anfangs bei der Geräteeinrichtung eingegeben hatte. Damit standen alle mit Chrome verknüpften Anwendungen offen.
Die Demonstration rief unter anderem den US-Senator Ron Wyden von den Demokraten auf den Plan. "Mein Büro ist mitten in einer Überprüfung der Datenschutzpraktiken von Streaming-TV-Technologieanbietern", erklärte der Politiker gegenüber dem Online-Magazin 404 Media. Dabei sei das Team auch auf das "alarmierende Video" über den unbeaufsichtigten Zugriff auf ein Android-TV-Gerät aufmerksam geworden. Google teilte den Mitarbeitern Wydens zunächst mit, dass es sich bei der Angelegenheit um ein erwartbares Verhalten handele. Erst als Reporter von 404 Media bei dem Konzern nachhakten, wurde dieser konkreter. Das Unternehmen teilte mit, "die meisten Google TV-Geräte, auf denen die neuesten Softwareversionen ausgeführt werden, lassen dieses dargestellte Verhalten" bereits nicht mehr zu. Man sei ferner dabei, "eine Lösung für die übrigen Geräte bereitzustellen". Um welche Versionen von Android TV es sich handelt, und welche eventuell nicht mehr gepatcht werden, geht aus dem Bericht nicht hervor.
(nie)