Fernseher, Beamer & Hifi

Kaufberatung & Informationen zu TV, Beamer und HiFi

Update-Politik bei Fernsehern: Sicherheit und IoT

Gehackter Fernseher
Gehackter Fernseher | Quelle: symantec.com

Genau, wie dein Notebook oder dein PC zu Hause oder auf Arbeit, ist auch ein moderner Fernseher nicht anderes als ein Computer mit einem überdimensionalen Monitor. Es ist ein Prozessor verbaut, der den modernen Smart TV mit Leistung zur Seite steht, wenn dieser tolle neue Apps ausführen will. Das ist in erster Linie super, weil so der Funktionsumfang des TV enorm erweitert werden kann. Früher hat man auf dem Fernseher eben nur Filme, Nachrichten und Serien geschaut. Heute ist teilweise Spielekonsole, Sportgerät (in Form von Sport-Apps) oder Web Browser. Dabei sollte man aber eines nicht vergessen: Updates.

Firmware-Updates: Funktionserweiterung des TV

Die meisten kennen Updates bei Fernseher eher unter "Firmware Upgrade" oder "Firmware Update". Das geschieht entweder "OTA", was für "Over the air" steht oder eben via USB. OTA werden die meisten vom Smartphone kennen. Steht dem TV Internetzugang zur Verfügung, kann er sich selbst aktualisieren. Ist dem nicht so, muss man eine spezielle Datei meist von der Herstellerseite herunterladen, auf einem USB Stick entpacken und diesen dann in den dafür vorgesehen USB-Slot am TV stecken.

Der Aktualisierungsprozess dauert je nach Modell und Art des Updates unterschiedlich lang. Man sollte dabei vermeiden den Fernseher anderweitig zu verwenden, den Strom aus der Steckdose zu ziehen oder sonst wie in den Prozess eingreifen. Das Ergebnis könnte ein nicht mehr funktionierender Fernseher sein. Das will keiner!

Ist alles geglückt, hat der Fernseher eine neue Versionsnummer und oft neue Funktionen oder es wurden eben kleinere Fehler korrigiert. Soweit alles, was die meisten von euch machen und kennen.

Problematische Update-Politik vieler Hersteller

Jetzt kommen wir zu Problemen. Neue Funktionen sind toll, aber viel wichtiger ist, dass man den eigenen PC bzw. in dem Fall Fernseher, soweit wie möglich up to date hält und damit potentielle Sicherheitslücken schließt. Nun ist es nicht so gut, wenn die Hersteller viel mit ihrer Software experimentieren und teilweise nach 2-3 Jahren diese nicht mehr verwenden und pflegen. Das Ergebnis ist dann oft Software, die Sicherheitslücken beinhaltet, die - wenn sie entdeckt werden - nicht geschlossen werden. Das kann dir bei deinem Windows PC eher nicht passieren, weil Microsoft da hinterher ist. HiSense, Sony, LG und Samsung sind da allerdings anders, wenn es um Fernseher geht.

Wenn man richtig Pech hat, erwischt man genau so einen Fernseher, dessen Hersteller die Software nicht mehr pflegt. Im schlimmsten Fall können Hacker Sicherheitslücken dann verwenden, um deinen Fernseher als Malwareschleuder, Spamschleuder oder sonstiges zu missbrauchen. Von dort aus lässt sich außerdem leichter in dein Netzwerk bzw. deinen Router vordringen. Klingt erstmal abgespaced, gehört aber mittlerweile zur bitteren Realität: IoT Botnets sind in der IT Sicherheit-Branche omnipräsent.

IoT steht für Internet of Things und bezeichnet grob die Fähigkeit von vielen Geräten Zugang zum Internet zu haben. Dieser Umstand und die Tatsache, dass die Software solcher Produkte oft minderwertig ist, erlaubt es technisch versierten IT-Spezialisten solche Geräte zu übernehmen. Im schlimmsten Fall lässt sich damit ein Botnet aufbauen mit dem man andere Seiten mit Massenanfragen lahmlegen kann - Stichwort "DDoS".

Günstige Produkte, viele Probleme

Das Problem rund um das Thema IoT Botnets betrifft nicht nur Fernseher, sondern auch alle anderen Geräte aus dem Wohnzimmer und Haushalt, die irgendwie mit dem Internet verbunden sind. Oft sieht man, dass man es mit Billigware zu tun hat. Es wird gespart, wo man kann und die Nutzer wünschen sich alles mögliche mit WLAN und Bluetooth. Die Überraschung kann dann böse Ausfallen. Einige interessante Beispiele habe ich mal zusammen getragen:

  1. Malware infiziert IP Kamera und missbraucht diese als Botnet (Quelle: heise.de)
  2. Smart TVs von LG mit veralteter Software werden gekappert und missbraucht (Quelle: golem.de)
  3. Ein Mitarbeiter von Symantec legt dar, wie sein Smart TV infiziert wurde (Quelle: symantec.com)

Und das ist erst der Anfang. Viele erfolgreiche Angriffe bekommt man nicht mit. Das Thema IoT ist recht neu. Grade beginnt man quasi erst alles mögliche an Geräten ans Netz zu hängen. Im Grunde ist das ein toller Spielplatz für Hacker und Blackhats. Wer will, der findet eigentlich immer was.

Exploits gibt es bereit im Netz

Exploits sind so genannte kleine Programme, in denen man einfach nur die Adressen/URLS und einige Zusatzinformationen eines "Opfers" eintragen muss und der Exploit "nutzt" dann die Sicherheitslücke aus, infiziert die Seite, erstellt eine Backshell oder macht sonstiges. Wie so etwas aussieht, kann man anhand des folgenden Proof of Concept-Exploits demonstrieren:

  • Betroffen sind ältere Samsung-Geräte (Fernseher, BluRay-Player, ...)
  • Man kann damit das Produkt immer wieder neu starten
  • Sicherheitslücke vom Type Buffer Overflow
  • Weiterführend: "Buffer Overflow"

PoC auf exploit-db

Fehlende Sicherheitspolitik seitens der Hersteller

Das zugrunde liegende Problem ist nicht unbedingt die Software bzw. die Fehler in der Software. Das Problem ist, dass Software ziemlich schnell nicht mehr gepflegt wird. Im Bereich der Fernseher gibt es da viele Beispiele. Fernseher werden millionenfach an Menschen verkauft und die Software wird sich dann selbst überlassen - und irgendwann stolpert irgendjemand über die große Menge an ungeschützen Geräten und missbraucht sie für eigene Zwecke.

Fernseher und Updates - Sicherheit ist wichtig
So sieht das Ergebnis eines erfolgreichen Angriffs auf einen TV aus

Auf der sicheren Seite: Tipps

Um ehrlich zu sein - du kannst nicht viel machen. Du hast einen 4K TV mit Smart TV-Features gekauft und die willst du auch nutzen, also muss der Fernseher ans Internet. VoD Dienste, wie Netflix oder Maxdome sind heutzutage auf jedem Fernseher zu finden. Einen Tipp, wie man zu 100 % sicher ist, gibt es einfach nicht. Trotzdem muss man das Glück nicht herausfordern.

  1. Installiere keine Apps aus suspekten Quellen - Apps via USB auf den TV bringen bringt immer ein gewisses Restrisiko mit sich, dass an der App was faul ist
  2. Du verwendest den Smart TV nicht? Du schaust nur via DVB T-Tuner oder spielst nur ab und an? Dann deaktivier die Internetverbindung.
  3. Wenn es ein Update gibt, dann spiel es ein - die Wahrscheinlichkeit, dass damit auch sicherheitskritische Bugs behoben werden, ist nicht gering.
  4. Interessant ist auch immer mal wieder Google zu bemühen und zu schauen, wie der Hersteller mit Sicherheitsproblemen umgeht!

In Zukunft wird es spannend...

Fakt ist, dass immer mehr Geräte - TVs, DVD Player, Smartphones, Mikrowellen, Kühlschränke ins Netz kommen. Damit steigt die Gefahr und die Anzahl an Angriffsvektoren. Wir werden in Zukunft viel öfter hören, dass Netflix, Spotify und Co. nicht benutzbar sind, weil ein Botnet bestehend aus Haushaltsgeräten es mit Massenweise Zugriffen ausgeschaltet hat. Für den einzelnen wird es schwer da etwas gegen zu machen - es hilft aber schon ungemein viel, wenn man sich der Problematik bewusst ist. Und ganz ehrlich? Muss der Toaster wirklich ins Internet?

Hat dir diese Seite gefallen?

Die News wurde bereits von 1 Besuchern bewertet. Durchschnittlich hat diese Neuigkeit 5.00 von 5.00 Punkte bekommen! Und wie bewertest du die Seite? Gib uns einen Daumen hoch bzw. runter.