Mit der CES 2011 ist eine der größten Messen für Endkunden gerade zu Ende gegangen. Ein Thema dort war erneut Connected TV. Im Grunde bedeutet das, dass Fernseher und Zubehör wie Receiver künftig mit dem Internet kommunizieren sollen. Damit wird es beispielsweise möglich, Filme und Serien auf Abruf zu bestellen oder in der Werbepause oder einer besonders langatmigen Szene nebenbei im Web zu surfen.

 

Ein Problem dabei: Es fehlt oftmals an einer grundlegenden Implementierung von Sicherheit. Sowohl die Fernseher wie auch die diversen Receiver sind im Grund nichts mehr als ein PC, der seine Informationen auf dem Display des Gerätes mit anzeigt.

 

Wie eine Attacke auf einen Internet-Fernseher aussehen würde, zeigen beispielsweise Sicherheitsforscher von Mocana. Mocana, an dem IT-Sicherheitshersteller Symantec beteiligt ist, ist auf die Sicherheit von Embedded-Devices wie TV-Geräten spezialisiert. Den Forschern des Hersteller ist es gelungen, mehrere Sicherheitslücken in aktuellen Geräten auszunutzen. Im Grunde laufen all diese Attacken darauf hinaus, dass die Angreifer die jeweiligen Geräte übernehmen können. Das klingt zunächst noch nicht so gefährlich – immerhin ist es nur ein Fernseher – allerdings eröffnet das durchaus auch Möglichkeiten. So kann man etwa die Zugangsdaten mitschneiden, wenn sich ein Nutzer etwa bei einem Social Network anmeldet. Oder ein Angreifer könnte an die Kreditkarteninformationen kommen, etwa wenn ein Nutzer sich über das Gerät einen Film kauft.

 

Was deutlich schwerer wiegt: Die Forscher hatten Zugriff auf die Developer-Keys für Applikationen von Drittanwendern, da diese im Klartext übertragen werden. Diese Schlüssel sind beispielsweise notwendig, damit eine Anwendung auf dem Gerät ausgeführt werden kann oder damit sie Zugriff auf spezielle Rechte erhält. Die Forscher weisen zwar darauf hin, dass nicht jede Marke gleich betroffen ist – allerdings scheinen viele Hersteller die Internet-Funktionen zu implementieren, ohne sich wirklich Gedanken um Sicherheit zu machen.

 

Im Klartext bedeutet dass, das Fernseher mit Internetverbindung eigentlich schon als unsicher gelten müssten, bevor sie überhaupt großflächig auf den Markt gekommen sind. Das Problem hierbei ist durchaus auch die Consumerizaton von Hardware – jeder weiß natürlich, dass man auf einem PC eine Sicherheitslösung haben sollte und dass man beim Surfen im Internet aufpassen muss – aber ein Fernseher ist in den Augen der Nutzer nun einmal kein PC.

 

Sieht man sich die Verkaufszahlen an, sind diese Geräte durchaus interessant für Angreifer: Laut der Firma Display Research wurden bereits in 2010 weltweit 40 Millionen Fernseher mit Internet-Fähigkeiten verkauft. Bis 2014 soll diese Zahl auf 118 Millionen steigen. Ein entsprechendes Feature wird also so bald zur Grundausstattung gehören – und damit auch die dazugehörigen Schwachstellen.

 

Dazu kommt, dass wahrscheinlich kein Hersteller eine umfangreiche Sicherheitslösung installieren wird – ist eine Schadsoftware also erst einmal in so ein Gerät eingedrungen, wird sie nur schwer wieder zu entfernen sein. Der nächste Schritt wäre ein Botnet, das nur aus infizierten, internettauglichen Fernsehern besteht – eine beängstigende Vorstellung.

 

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.