Nicht einmal zwei Wochen ist es her, dass es einen „Skandal“ um das angeblich dauerhafte Lauschen von Samsung SmartTVs gab, obwohl dies gar nicht der Fall ist. Offenbar hat dies dennoch dafür gesorgt, dass sich ein Sicherheitsunternehmen die Spracherkennung einmal genauer angesehen hat – und dabei auf gravierende Sicherheitslücken gestoßen ist.
David Lodge, ein Mitarbeiter der Sicherheitsberatungsfirma Pen Test Partners hat die Datenübertragung der Spracherkennung unter die Lupe genommen. Nutzt ein Anwender die Spracherkennung, nachdem der entsprechende Knopf gedrückt wurde, werden die Daten über den Port 443 übertragen, worüber für gewöhnlich HTTPS-Verbindungen laufen. Das suggeriert natürlich zunächst, dass die Daten verschlüsselt werden, doch leider ist dies nicht der Fall.
UPDATE: Samsung hat zu dem Bericht Stellung genommen.
„Der Schutz von Verbraucherdaten hat bei allen Samsung Produkten oberste Priorität. Unsere neuesten Smart TV Modelle sind daher mit einer entsprechenden Verschlüsselungsfunktion ausgestattet. Für Vorgängermodelle wird in Kürze ein entsprechendes Software-Update bereitstehen, das die Verschlüsselung der Daten sicherstellt.“
So lässt sich die Kommunikation zwischen Server und SmartTV durch einen Man-In-The-Middle Angriff abhören, oder sogar modifizieren, ohne dass der Anwender dies merkt. Gefährlich ist dies, da sich durch die Spracherkennung der Fernseher somit von Hackern steuern lässt, sobald man die Spracherkennung nutzt.
Übertragen werden neben der binär kodierten Audioaufnahme auch Informationen zum Fernseher und dessen Betriebssystem, während die Antwort des Servers sogar ein unverschlüsseltes Transkript des Gesagten enthält.
(via SamMobile)
Ehrlich gesagt möchte ich nicht wissen,wie es bei all den anderen Anbietern aussieht.Im Moment steht Samsung unter Dauerbeschuss. Ich habe nichts dagegen, dass so was untersucht wird,um Unternehmen dazu zu bringen,mangelhafe Dinge zu verbessern,aber hat man sich mal die Mühe gemacht,alles was an China Produkten auf den Markt kommt auf Sicherheit zu prüfen….
Ich bin auch immer wieder verlüfft wieviel Samsung Gegner sich die Zeit nehmen,auf diese Samsung Seite zu gehen, um wieder ihr Gemecker abzusondern.
Ich tummele.mich nicht auf Apple eigenen Seiten herum,i dazu ist mir echt meine Zeit zu schade…warum auch….ich besitze ein Samsung Handy,bin sehr zufrieden und hole mir hier meine Infos….
Schon seltsam die Menschheit. Man hinterlässt täglich Daten im Überfluss zur Auswertung, was man akzeptiert, beim TV bricht fast Panik aus.
Ja genau darüber können eure „wichtigen Daten“ ausgespäht werden…sprachsteuerung Leute, nicht Email Konto oder Bankdaten…
Hmm – verstehe jetzt nicht ganz, wie der Fernseher so ferngesteuert werden können soll, wenn doch grade – wie bei der angesprochenen letzten Diskussion angemerkt wurde – klar geworden ist, dass gerade die Kommandos für die Steuerung NICHT übertragen werden…
??? Verstehe die Aufregung nicht ob der Befehl „Sender 1“ verschlüsselt wird oder nicht spielt doch keine rolle? Oder sagt irgendwer bei gedrückten Knopf dem TV seine kreditkartendaten????
Das Problem ist vielmehr, dass durch Manipulation der Antwort des Servers ganz andere Sprachkommandos „erkannt“ werden können als man tatsächlich gesagt hat. So können also praktisch alle Funktionen des SmartTVs angesprochen werden.
ok. d.h. es könnte sich jemand dazwischenschalten und den fernsehr ausschalten oder ähnliches.
Zum Beispiel so etwas in der Art, ja. Welche Funktionen so genau nutzbar sind, weiß ich zwar nicht, aber Potential für Angriffsmöglichkeiten ist so jedenfalls da.
Ich sehe eher ein Problem darin, das jemand den Fernseher dahin gehend manipuliert, das er unbemerkt ständig lauscht und dieses dann sendet.
Port 443 ohne (zumindest) SSL-Verschlüsselung geht gar nicht. Dass Samsung es doch so macht, zeigt, dass sie entweder ahnungslos oder leichtsinnig (schlimmere Wörter spare ich mir) vorgegangen sind. Was von beidem besser ist, mag jeder für sich entscheiden.
Aber für einen man in the middle Angriff muss der Hacker doch im selben Netzwerk sein oder? Also im WLAN des TV Geräts. Und den nimmt man ja selten mit in ein Café mit wifi oder versteh ich was falsch?
Auch kompromittierte Server bei einem Internetanbieter o.ä. können dafür verwendet werden, Stichwort NSA & Co.
Oder Laptops und Handys im gleichen Netzwerk. Die kompromittiert sind. Also nahezu jedes Smartphone jeder PC/Mac eigentlich alles.
Ja, selbst schuld, wenn du dein WLAN nicht verschlüsselst
Ich nutze die Sprachsteuerung eh nicht, ich habe noch nicht mal WLAN beim Smart TV an. Wenn ich ins Internet will gehe ich an den PC :-).
Was ist dann der Sinn eines Smart TV?
Schön groß und Flach 😉
Das ist mein Plasma auch. Aber was ist daran smart?
Ich wollte einen großen TV und die guten gibt es halt nur mit Internet. Ich brauche diese Funktion aber nicht!
Oder Mikrofon und Kamera auslöten
Samsung. Kann. Keine. Software.
100% Zustimmung auch wenn viele das nicht wahrhaben wollen.
Port 443 und dann nicht verschlüsselt… Der absolute Hammer.
Ja, SSL-Verschlüsselung wäre das Mindeste.
TouchWiz ist ganz gut… möchte ich nicht mehr missen und das meine ich ohne Ironie!
Ach du bist das! Aber jetzt mal ganz ohne Ironie: ganz offensichtlich haben das viele Leute anders gesehen. Warum wohl wird Samsung zukünftig ein angeblich erheblich abgespecktes TouchWiz bringen? Weil das alte den Leuten so gut gefallen hat? Wohl kaum. Im Übrigen habe ich noch nie gehört, dass TouchWiz „Klasse“ sei. Bestenfalls hört man, dass es „ganz gut“ oder „inzwischen schon ganz ordentlich“ oder „so schlecht gar nicht“ sei. Und das ist eindeutig viel zu wenig.
Von KIES, dem Software gewordenen Irrsinn, möchte ich gar nicht erst sprechen.
hatte ab s2 alle S Modelle und nie probleme mit kies aber positives Feedback ist im Internet eher selte.
Also ich habe aber auch noch nie gehört, das andere Herstelleraufsätze oder Stock „klasse“ sei. So viel mal dazu.
Kenne einige, die sense geil finden. Kann ich aber nicht nachvollziehen.
Touchwiz hat tatsächlich nützliche Funktionen. Aber nichts davon ist für mich so wichtig, dass ich nicht eine saubere Entwicklung und schnellere Update dafür hintenan stellen möchte.
So würde ich das nicht pauschal behaupten. Es ist sicher nicht alles gelungen, aber bei wem ist es das schon?
Zudem ist Samsung ne relativ große Nummer in der Linux Entwicklung.