Spion im Wohnzimmer

Privacy und Sicherheit bei Internet-fähigen TVs

Wissen | Hintergrund

Moderne Fernseher bringen das Internet nicht nur in die Stube, sie nutzen es auch selbst gerne. Wir haben analysiert, was eine Auswahl aktueller Smart-TVs ins Netz schickt. Dabei gab es unangenehme Überraschungen.

N eue Fernseher haben fast durchgängig eine WLAN- oder zumindest eine Ethernet-Schnittstelle. Darüber kann man das Gerät per App steuern oder auf Medienserver im Heimnetz zurückgreifen. Allerdings hievt man die Flimmerkiste damit auch ins Internet, wovon sie ungeniert Gebrauch macht: Wie selbstverständlich übermittelt sie unter anderem, welchen Sender man gerade schaut – und das nicht nur dem TV-Sender, sondern auch Werbefirmen. Der Hersteller bekommt ebenfalls ein Stück vom Datenkuchen ab. Bei einigen Geräten stießen wir darüber hinaus auf handfeste Sicherheitsprobleme.

Um uns einen Überblick zu verschaffen, welche Daten ins Netz fließen, stellten wir einen Querschnitt aktueller Smart-TVs in unserem Labor auf: je ein Modell von LG, Panasonic, Philips, Samsung und Toshiba. Die Geräte durften über unser Testnetz auf das Internet zugreifen, während wir dem Datenverkehr mit Analyse-Tools wie Wireshark zu Leibe rückten. Noch bevor wir Browser oder Apps starteten, kommunizierten die Fernsehgeräte bereits fleißig mit diversen Servern – vor allem beim Wechseln der Sender.

Was da beim Zappen unverschlüsselt durch die Leitung fließt, ist die erste Stufe des Datenangebots Hybrid Broadcast Broadband TV (HbbTV), über das Fernseher aus dem Internet Informationen zum laufenden Programm oder auch passende Werbung nachladen. Wo die Daten abgeholt werden, gibt der DVB-Datenstrom vor. So erhält der Fernseher zum Beispiel beim Einschalten von Pro7 den Befehl, mit seinem rudimentären Browser die URL http://hbbtv.prosieben.de/service/redbutton_p7.php abzurufen und transparent über das TV-Bild zu legen.

Der rote Knopf

Es handelt sich bei der Seite um den „Red Button“, der das HbbTV-Portal des Senders anpreist. Dazu wird ein Banner in der unteren rechten Bildschirmecke angezeigt. Der Fernseher lädt die Red-Button-Seite automatisch von einem Server der Sendeanstalt, sobald man den Sender anwählt. Dadurch bekommt der Sender mit, wann der vernetzte Zuschauer zuschaltet. Bei jedem Abruf der Red-Button-Seite übermittelt der Browser dem Webserver des Senders die IP-Adresse des heimischen Internet-Anschlusses sowie Informationen über das eingesetzte TV-Gerät.

Dass diese Zugriffsdaten tatsächlich ausgewertet werden, zeigt eine Präsentation der ProSiebenSat1-Tochter SevenOne Media: Demnach wurde etwa der Red Button von ProSieben im Dezember 2013 von 5 890 000 verschiedenen Geräten (Unique Devices) angezeigt. Das Unternehmen hat im Jahr 2013 einen Zuwachs von 270 Prozent registriert. Offensichtlich erfasst SevenOne nicht nur die Gesamtzahl der Abrufe, sondern kann die Geräte auch voneinander unterscheiden. Dieses Wiedererkennungsmerkmal mussten wir im Datenverkehr nicht lange suchen: Viele Sender legen Cookies im Fernseher ab, um das Zuschauerverhalten zu tracken – darunter auch die Sender der Gruppe ProSiebenSat1.

Ein besonders verbreitetes Cookie heißt utma. Diesem Namen begegnet man auch in Cookie-Speichern auf PCs immer wieder. Es enthält unter anderem eine individuelle Identifizierungsnummer sowie den Zeitstempel des ersten Erstkontakts mit dem Server. Auch den Zeitpunkt der letzten Sitzung merkt sich das Cookie.

Teilen macht Freude

Nicht nur die Sender bekommen das Einschalten mit; die meisten Red-Button-Seiten laden auch automatisch Inhalte von fremden Servern nach. Dabei fiel vor allem immer wieder ein alter Bekannter auf: Google Analytics. Nahezu alle wichtigen Privatsender und sogar der öffentlich-rechtliche Sender arte lassen die Abrufe der Red-Button-Seite vom externen Datensammler tracken – und somit faktisch auch das Einschalten des Senders. Die übertragenen Daten erlauben umfassende Rückschlüsse auf die Fernsehgewohnheiten des Zuschauers – und somit auch auf seine persönlichen Interessen. Wann wird der Fernseher für gewöhnlich eingeschaltet, welche Sender werden geschaut? Über welche Themen informiert sich der Nutzer? Ob man mit der Übertragung einverstanden ist, fragt keiner der Sender.

Technisch funktioniert das Tracking, indem die JavaScript-Datei http://www.google-analytics.com/ga.js in die Red-Button-Seite eingebettet wird. Daraus resultiert eine HTTP-Anfrage an Google, in dessen Header die URL der HbbTV-Seite steht. In diesem Moment hat Google bereits die externe IP-Adresse des Zuschauers und kann anhand der URL aus dem Header eindeutig auf den eingeschalteten Sender schließen. Ferner wird eine unsichtbare Grafik von der Adresse http://www.google-analytics.com/__utm.gif geladen. Darüber werden sogar die URL-Parameter des utma-Cookies an Google übertragen.

Wer glaubt, dass der Datenabfluss danach abebbt, liegt zumindest bei den ProSiebenSat1-Sendern falsch: Wir entdeckten im Datenstrom eine JavaScript-Datei namens hbbtvclient_longpolling.js, die dafür sorgt, dass der Fernseher nach dem Einschalten des Senders in regelmäßigen Abständen ein Lebenszeichen an den Sender schickt – selbst wenn der Red Button längst nicht mehr sichtbar ist. ProSiebenSat1 bekommt also nicht nur mit, wann man zuschaltet, sondern auch wie lange man hängen bleibt.

Rechtliches

HbbTV ist inzwischen bei vielen neu gekauften Smart-TVs im Auslieferungszustand aktiv. Eine Aufklärung über die damit verbundenen Tracking-Maßnahmen erfolgt an keiner Stelle. Rechtlich ist schon die Verarbeitung der IP-Adressen höchst problematisch, da es sich nach Ansicht der meisten Juristen um personenbeziehbare Daten handelt, die den Vorschriften des Datenschutzes unterliegen. Eine Speicherung und Verarbeitung dieser Daten zu Tracking- oder Werbezwecken ist nur mit ausdrücklicher Einwilligung des Betroffenen erlaubt. Dieser muss zudem über die geplante Nutzung seiner Daten informiert werden. Fehlt es an einer solchen „aufgeklärten Einwilligung“, so ist die Speicherung und Verarbeitung von IP-Adressen nach Ansicht von Datenschutzbehörden klar rechtswidrig.

Diese Auffassung teilt auch der Datenschutzexperte Prof. Dr. Nikolaus Forgó vom Institut für Rechtsinformatik der Leibniz-Uni Hannover, den wir über unsere Beobachtungen informierten. „Bereits die Erhebung der Daten ist ein klarer Rechtsbruch. Dass die Daten auch noch an Google weitergegeben werden, ist nur noch das Sahnehäubchen obendrauf“. Nach Einschätzung des Datenschutzbeauftragten des Landes Schleswig-Holstein, Dr. Thilo Weichert, ist das Tracking „ganz klar ein Eingriff in das Recht auf informationelle Selbstbestimmung (Grundrecht auf Datenschutz) als Konkretisierung des allgemeinen Persönlichkeitsrechts“.

Auch der niedersächsische Datenschutzbeauftragte Joachim Wahlbrink steht HbbTV höchst kritisch gegenüber: „Nachdem vor allem durch zahlreiche staatliche Eingriffe die verfassungsrechtlich gebotene unbeobachtete Nutzung von Telekommunikation und Internet kaum noch möglich ist, steht nun auch der seit jeher selbstverständliche, anonyme Empfang von Rundfunkprogrammen auf dem Spiel“, so Wahlbrink.

ProSiebenSat1 erklärte gegenüber c’t, die Auslieferung des Red Button werde getrackt, um zu ermitteln, „wann die HbbTV-Angebote genutzt werden und wie die Wachstumsraten sind“. Dass man dadurch darauf schließen kann, wann die TV-Nation einschaltet, darauf geht die Sendergruppe trotz expliziter Nachfrage nicht ein. RTL zeigte sich auskunftsfreudiger. Das Unternehmen räumte ein, dass man zwar nicht gezielt das Zuschalten erfasse, jedoch geschehe „das Starten des HbbTV-Dienstes auf vielen Geräten automatisch beim Einschalten des Senders“, und wird folglich auch von der HbbTV-Nutzungsstatistik erfasst. Eine Messung der Verweildauer findet bei RTL nach eigenen Angaben nicht statt, was sich mit unseren Beobachtungen deckt.

Beide Sendergruppen erklärten, die IP-Adressen der Nutzer lediglich in gekürzter Form weiterzugeben. RTL bezieht sich damit explizit auf die IP-Adressen-Anonymisierung von Google Analytics, bei der die IPs in Europa verkürzt werden sollen, ehe sie den Kontinent verlassen. Angesprochen auf die Cookies erklärte RTL, dass sie „auf den Geräten für maximal 24 Monate gespeichert werden, soweit das Gerät dies zulässt“. Man arbeite derzeit „an einer einheitlichen Lösung zur Abstellmöglichkeit für Cookies“. ProSiebenSat1 äußerte sich nicht zur Lebenszeit der Cookies, will aber immerhin daran arbeiten, seine Messungen ohne externe Hilfe durchzuführen. Ob die Sendergruppen ihre Vorsätze in die Tat umsetzen, werden wir zu einem späteren Zeitpunkt überprüfen.

Arte, der einzige öffentlich-rechtliche Sender mit Google Analytics beantwortete unsere Presseanfrage nicht. Zur Kenntnis genommen hat sie der Sender aber offenbar: Wenige Tage nach der Anfrage verbannte arte den Google-Dienst von seinem HbbTV-Portal.

Nach Hause telefonieren

Auch bei den weiteren Smart-TV-Funktionen ist Tracking allgegenwärtig. Die Hersteller bekommen schon das Aufrufen des Smart-TV-Menüs mit. Alle von uns analysierten Geräte pflegen einen regen Austausch mit dem Mutterschiff. Welchen Zweck die Datenpakete der Smart-TVs an die Server der Hersteller erfüllen, konnten wir oft nicht einmal nach intensiver Recherche ergründen. Man muss dem Hersteller also blind vertrauen, dass er es mit der Datensammelei nicht übertreibt.

Dieses Vertrauen dürfte bei Besitzern von LG-TVs nicht mehr sonderlich ausgeprägt sein: Geräte des Herstellers wurden Ende 2013 dabei ertappt, wie sie angeschlossene USB-Datenträger nach Mediendateien durchsuchten, um die Dateinamen an den Hersteller zu melden. Laut LG handelte es sich dabei um ein Versehen. Kurz nach unserer Anfrage veröffentlichte das Unternehmen eine neue Firmware-Version, die sich nicht mehr für die private Filmsammlung interessiert. Diese wird aber nicht automatisch installiert. Alle Geräte im Testfeld zeigen Werbung in der Smart-TV-Oberfläche an, die oftmals von den Servern externer Firmen nachgeladen wird. Panasonic blendet beim Einschalten sogar kurzzeitig Werbebanner in das laufende TV-Programm ein.

Schwachstelle HTTPS

Darüber hinaus haben wir mit den Geräten einige grundlegende Sicherheitschecks durchgeführt. Dabei erlebten wir erneut eine Überraschung: Drei der fünf Smart-TVs patzten schon bei der sicheren Datenübertragung via HTTPS. Wir konnten uns mit überschaubarem Aufwand in deren verschlüsselten Datenverkehr einklinken und fette Beute machen, darunter Zugangsdaten für Amazon (durch die Lovefilm-App) und Maxdome.

Die Modelle LG 42LN5758, Philips65PFL9708S/12 und Samsung UE46F5370SS überprüfen nicht, ob SSL-Zertifikate von einem vertrauenswürdigen Herausgeber (CA) stammen. Wir haben den Smart-TVs selbst gemachte Zertifikate serviert, die von einer CA signiert wurden, die wir kurz zuvor ins Leben gerufen hatten. Die Testkandidaten können diese folglich gar nicht kennen und sollten ihr erst recht nicht vertrauen. Die fehlerhafte SSL-Implementierung zieht sich durch alle Anwendungsbereiche; Apps vertrauen zumeist darauf, dass die vorhandene Krypto-Infrastruktur funktioniert. Bei Philips und Samsung verlassen sich sogar die Browser darauf, weshalb wir mühelos in eine HTTPS-gesicherte Banking-Sitzung einsteigen konnten. Kurz gefasst: Wer mit diesen Geräten vertrauliche Daten verschickt, handelt leichtsinnig. Jeder, der sich zum Beispiel im gleichen Netzwerk befindet, kann die Daten im Klartext mitlesen.

LG, Philips und Samsung konnten das Sicherheitsproblem mit Hilfe der von uns zur Verfügung gestellten Informationen nachvollziehen. Der Fehler zieht sich jeweils durch die gesamte Produktpalette. Präzise Angaben darüber, welche Modelle verwundbar sind, konnte jedoch keines der Unternehmen machen. Die TV-Hersteller arbeiten nach eigenen Angaben an Firmware-Updates, die die Lücke schließen sollen.

Angriffe auf Smart-TVs sind übrigens keineswegs theoretischer Natur: Ist zum Beispiel der Router mit einem Datenschnüffel-Tool befallen, wie in c’t 21/13 auf Seite 46 beschrieben, kommt der Angreifer auf diesem Weg auch an den Datenverkehr des TV. Wenn der Fernseher die ihm vorgesetzten SSL-Zertifikate nicht ausreichend überprüft, hat der kompromittierte Router den HTTPS-Traffic im Nu geknackt.

Grundsätzlich ist auch eine Infektion des TV möglich – schließlich werden die Smart-TV-Funktionen von kleinen Embedded-Rechnern bereitgestellt, in denen für gewöhnlich ein Unix-Kern werkelt. Entdeckt ein Angreifer darin Sicherheitslücken, kann er sich weitreichende Kontrolle über das System verschaffen. So gelang es dem Sicherheitsforscher SeungJin Lee bereits vor einem Jahr, einen Samsung-Fernseher in eine Videowanze zu verwandeln. Diese leitete den Video-Stream der eingebauten Kamera unbemerkt über das Netzwerk weiter – während das Gerät vermeintlich ausgeschaltet war.

Sendepause

Unsere Testergebnisse hinterlassen den Eindruck, dass die Themen Datenschutz und Sicherheit von den TV-Herstellern eher stiefmütterlich behandelt werden. Wer verhindern will, dass die Mattscheibe das persönliche Fernsehverhalten mit Gott und der Welt teilt, der muss HbbTV abschalten (siehe Kasten „Fernsehen ohne Zuschauer“).

Wir haben unter ct.de/hbbtv eine Linkliste zusammengestellt, über die Sie bei Bedarf trotzdem auf die wichtigsten HbbTV-Senderportale zugreifen können. Legen Sie am besten ein Lesezeichen im Browser Ihres Smart-TV an. Damit können Sie zum Beispiel in den Mediatheken stöbern, ohne dass der Red Button Ihre Fernsehgewohnheiten verrät.

Wollen Sie dem TV das Internet gänzlich entziehen, aber weiterhin auf Dateifreigaben im heimischen Netzwerk zugreifen, können Sie die IP-Konfiguration des Geräts auf „manuell“ ändern und als Gateway und DNS-Server die IP-Adresse 127.0.0.1 einstellen. Die häufig angebotene TV-Steuerung per App funktioniert dann weiterhin – etwa, wenn die Fernbedienung mal wieder in die Sofa-Ritze gerutscht ist. Falls Sie die Netzwerkfunktionen gar nicht nutzen, ziehen Sie am Besten den Netzwerkstecker und deaktivieren Sie die WLAN-Schnittstelle. (rei)

Fernsehen ohne Zuschauer

Um die Datenpetze HbbTV abzuschalten, muss man tief im Menü des Fernsehers wühlen. Der folgenden Tabelle können Sie entnehmen, wo Sie den entsprechenden Menüpunkt bei den Smart-TVs der meistverbreiteten Hersteller finden.

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Infos zum Artikel

Kapitel
  1. Der rote Knopf
  2. Teilen macht Freude
  3. Rechtliches
  4. Nach Hause telefonieren
  5. Schwachstelle HTTPS
  6. Sendepause
  7. Fernsehen ohne Zuschauer
1Kommentare
Kommentare lesen (1 Beitrag)
  1. Avatar
Anzeige

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (2)

Anzeige