Ein bedeutendes Sicherheitsrisiko wurde in den Philips Smart-TVs durch ein kürzlich durchgeführtes Firmware-Update eingeführt. Durch diese Sicherheitslücke ist es jedem der sich innerhalb der Reichweite des WLAN-Netzwerks befindet, möglich, auf an den Fernseher angeschlossene USB-Speicher zuzugreifen.
Entdeckt wurde das Problem von der Sicherheitsfirma ReVuln.
Philips Smart-TV fremdgesteuert (Quelle: ReVuln)
Die Ursache hierfür ist eine Funktion namens Miracast, über die WLAN-Clients wie etwa Android-Tablets eine Direktverbindung mit dem Fernseher aufbauen können um ihren Displayinhalt an ihn zu übertragen. Der Fernseher nimmt solche Verbindungsanfragen automatisch an. Bei den Philips-TVs ist Miracast allerdings offenbar falsch konfiguriert ? die Direktverbindung ist eine vollwertige Netzwerkverbindung.
Der Client kann deswegen nicht nur seinen Displayinhalt schicken, allerdings ebenfalls auf die Inhalte von an den Fernseher angeschlossenen USB-Speichermedien zugreifen und ihn komplett steuern. Auch das Ausnutzen von Sicherheitslücken gelingt über die Miracast-Verbindung; die Sicherheitsexperten von ReVuln demonstrieren, ebenso wie sie den Cookie-Speicher des auf dem Fernseher installierten Opera-Browsers abgreifen und sich anschließend mit einem kopierten Sitzungs-Cookie bei Gmail anmelden.
Betroffen sind nach derzeitigem Kenntnisstand die 2013-Modelle der Reihen 6⸴7, 8 und 9xxx. Der Hersteller der Philips-TVs, TP Vision, bestätigte gegenüber heise Security das Problem. Das Unternehmen arbeite bereits an einer Lösung. "Im Moment empfehlen wir, Miracast im Menü vorübergehend zu deaktivieren", so TP Vision.
Kommentare