die frei zugänglichen Firmware-Dateien analysiert haben. In der bis vor kurzem ausgelieferten Version von Skype steckten beispielsweise mehrere Command-Injection-Schwachstellen. Ein Angreifer, der in der Freundesliste des auf dem TV-Gerät bei Skype eingeloggten Anwenders steht, kann in einer Statusmeldung JavaScript-Code unterbringen, den die Skype-App verarbeitet. Skype-Nutzernamen sowie das Passwort des TV-Besitzers können dann ausgelesen werden. Auf diesem Weg, so die Experten, besteht über Skype auch Zugriff auf die API von Kamera und Mikrofon. Auch der auf Webkit beruhende Browser der Smart-TVs lässt sich missbrauchen. In diesem Fall findet der zur Attacke notwendige JavaScript-Code seinen Weg über die URL der aufgerufenen Seite. Es genügt, den Anwender auf eine vom Angreifer kontrollierte Webseite zu locken, um dann per klassischer Drive-by-Attacke verschiedene Einstellungen des TV-Geräts zu verändern. Den Sicherheitsexperten zufolge ist es beispielsweise machbar, den DNS-Server-Eintrag zu überschreiben. Anwender könnten danach unbemerkt auf einer Phishing-Seite statt dem erwünschten Original landen: Die von Samsung angepasste Webkit-Version scheint TLS-Zertifikate nicht zu verifizieren und daher keine Fehlermeldung auszugeben, wenn das vom Phishing-Server präsentierte Zertifikat nicht zur aufgerufenen URL passt. Der Browser hat ebenfalls Zugriff auf die zur Kontrolle der TV-Hardware notwendigen API, sodass ein Angreifer auch auf diesem Weg die Kamera missbrauchen kann, um deren Aufzeichnungen wahlweise in Form von Videostreams oder als Einzelbilder nach nach außen zu übertragen. Auch andere auf dem TV – Gerät installierte Apps können modifiziert und mit Angriffscode versehen werden. Die Hacker haben Samsung Anfang des Jahres über die Schwachstellen informiert. Daraufhin hat der Hersteller Updates für die genannten Apps veröffentlicht, wobei nicht klar ist ob alle betroffenen TV – Modelle erfasst wurden.
Hackerangriff auf Smart – TVs möglich