… außer Youtube Videos abzuspielen?

Mit dieser Frage ist das Team vom Radio 7 Morgenmagazin an mich herangetreten was dann letztendlich zu einem kleinen Interview und diesem Blogpost mit den Infos zum Nachlesen geführt hat.

Viel Spass damit...

 

1. Was macht eigentlich so ein SMART TV außer Youtube Videos abzuspielen?

Wie auch bei einem Computer fließen Daten prinzipiell immer in beide Richtungen:

Von Draußen nach Drinnen

    • Theoretisch greifen hier alle Angriffszenarien die auch auf einen regulären Computer zutreffen
    • Übernahme von Kamera und Mikrofon (Im Falle von Anwendungen wie Skype ist das natürlich gewünscht und kein Angriff)
    • Zugriff auf Daten des angesteckten Speichermediums
    • Auslesen der Netzwerkinformationen, übermeitteln des WLAN Passworts
    • Sperren des TVs und Freigabe nur nach Lösegeld
    • Betrieb als BotNet Agent / Cryptominer
    • Ausgangspunkt für Angriffe auf andere Rechner im Netz
    • All das wurde schon demonstriert, realistischerweise ist das aber eher eine Gefahr für den Firmen TV im Meetingraum eines Unternehmens als für den normalen Fernsehzuschauer

Von Drinnen nach Draußen

    • Hier gehts generell darum dem Hersteller des TVs sowie den TV Sendern Infos über das Nutzerverhalten zurückspielen.
      • Automatic Content Recognition(ACR): Übermittelt den Inhalt (Typ/Genre) der aktuellen Sendung die ich schaue, sowie welche Sender angeschaut werden
      • HBBTV "Red Button TV": Bietet Zusatzinfos zur aktuellen Sendung / zum aktuellen Thema an die parallel zum TV Signal aus dem Internet abgerufen werden. Und je nach Sender, werden auch noch zusätzliche Infos über das TV Gerät oder auch das Nutzungsverhalten übermittelt.
      • Die Technische Hochschule Darmstadt hat hierzu eine Studie veröffentlicht die zeigt wie weit das mittlerweile geht. Inklusive Setzen von Cookies und Auswertung mit Google Annalytics!

 

2. Wie unterscheidet sich die Datensicherheit bei großen Marken von no-name Modellen?

Statistiken sind mir keine bekannt, aber wer keinen Namen zu verlieren hat kann ins Volle greifen. So wie auch bei Apps fürs Telefon, kostet nix aber dafür greifen wir ab was geht.

Generell sollte man aber davon ausgehen, dass ein großes Unternehmen auch mehr Möglichkeiten hat sichere Software zu entwickeln und Benutzerrechte zu respektieren. Andererseits ist es in vielen Bereichen üblich externe Software von spezialisierten Firmen einzukaufen und dann nur noch anzupassen anstatt selber zu entwickeln. In so einem Fall kann natürlich auch ein no-name Anbieter mit guter Software auf den Markt kommen.


3. Wo bekomme ich denn einen Fernseher, der das nicht macht?
Auf dem Flohmarkt? Dumme Fernseher gibt es eigentlich nicht mehr. Die TV Hersteller preisen den nachträglichen Erlös aus dem Verkauf der Nutzerdaten mit ein. Was bedeutet, dass ein "dummer" TV teurer wird als Smart und damit vom Markt verschwindet.

 

4. Ich habe mir grade so ein Ding nach Hause gestellt - wie kann ich denn die Datenleitungen kappen?
Man kann in aller Regel einen SMART TV dumm betreiben indem man ihn einfach nicht ans heimische Netzwerk/LAN anschließt.
Man muss dann aber wissen, dass nicht alles was im Prospekt angekündigt wurde funktioniert. Funktionen die dass Internet benötigen fällen raus. Z.B. die Mediathek, Youtube Streaming, RedButton TV, usw.
Was ohne Internet funktioniert und was nicht, hängt aber letztendlich an der Software des TVs und kann sich auch nach einem Update der Software plötzlich ändern.
Daher, am besten im Fachgeschäft explizit ohne Internet ausprobieren bevor man den neuen Fernseher nach Hause trägt.

Es muss aber nicht immer so drastisch sein, es gibt auch Zwischenschritte:
1. Ich lasse den TV nur in mein Heimnetzwerk aber nicht in die große weite Welt
Dann fließen keine persönlichen Daten von mir ab, aber ich kann trotzdem noch die Bilder/Videos von meinem Telefon via WiFi auf den Fernseher bringen.
2. Ich betreibe den smarten TV als dummen Monitor und hole mir die Internetinhalte über einen besser geschützten PC oder ein Mediacenter
3. Die technisch versierten Zuhörer können sich Filter in Ihrem Internetrouter oder noch besser als separates Gerät (=Pi-Hole) einrichten und alles was vom TV nach Korea/China will blockieren.


5. Welche Geräte sind außerdem problematisch?
Im Prinzip alles was sich als SMART bezeichnet. Z.B. die billige chinesische Funksteckdose aus dem Baumarkt die sofort nach der erstmaligen Konfiguration das WLAN Password zusammen mit allem was sonst noch über das Netzwerk greifbar ist, nach China schickt. SmartHome Geräte, Überwachungskameras, InternetOfThings (IoT), etc.


6. Was sollte ich auf alle Fälle bleiben lassen?
Schwierig zu sagen, generell gilt alle Firmen die keinen Ruf und Geld zu verlieren haben zu meiden oder wer kann, technisch einzufangen bevor man sie ins eigene Netzwerk lässt.


7. Wie kann ich prüfen, ob Daten übertragen werden?
Prüfen ist ohne technisches Wissen eigentlich nicht möglich, man muss vertrauen, dass wenn man in der Software zum Beispiel ACR ausschaltet, dass das auch respektiert wird.
Ein ITler würde dafür einen sogenannten Network Sniffer einsetzen und schauen welche Datenpakete hin und her geschickt werden.

Für alle anderen mit etwas technischem Interesse würde ich die Installation eines Pi-Hole empfehlen. Das ist ein kostenloser Netzwerkfilter den sich jeder mit etwas technischem Hintergrund daheim auf zB. einem €50 MiniPC (Raspberry PI) installieren kann und dann die nicht-so-smarte Steckdose oder den TV relativ schnell aufspüren und einfangen. Als angenehmer Nebeneffekt schützt das Pi-Hole dann auch noch die PCs und Telefone und alles was sich sonst noch im Netzwerk tummelt.

Für alle anderen, eine Kiste Bier einkaufen und einen befreundeten ITler zu Besuch einladen.

Hier mal ein Bild das zeigt wie so eine Kommunikation aussieht:

 

Und noch ein Beispiel für HbbTV. Testweise ZDF geblockt und 3SAT erlaubt.


8. Wie kann ich prüfen ob ich angreifbar bin?
Braucht man nicht prüfen, alles was Verbindung zum Internet hat, ist angreifbar und wird auch angegriffen.

9. Was kann ich dagegen tun?
Standard Passwörter ändern sofern das Gerät sowas unterstützt. Passwörter sind beim TV eher unüblich, aber zB. bei einer Überwachungskamera wichtig und immer zu ändern.
Ansonsten kann der technische Laie eigentlich nur darauf achten seine Software aktuell zu halten, auf dem TV und auch allen anderen Geräten.