Sicherheitslücke bei Smart-TV-Geräten mit Medien-Streaming entdeckt

Heutzutage entfernen sich immer mehr Menschen vom konventionellen Fernsehen und wechseln zu verschiedenen Streaming-Lösungen, die eine noch größere Vielfalt an Inhalten liefern, ohne dass der Kabeltyp in Ihrem Haus gelassen werden muss. Diese verschiedenen Arten von Streaming-Hardware werden manchmal als "Stream-Boxen" bezeichnet. Eine solche Streaming-Box enthält erst kürzlich einen kritischen Fehler, der es Hackern ermöglicht, viele schlechte Dinge mit Ihren Daten zu tun.

Bei der fraglichen Streaming-Box handelt es sich um das Hindotech HK1 - ein Medien-Streaming-Gerät, das auf Android ausgeführt wird und mit dem Sie Online-Videos und Streaming-Dienste wie YouTube und Netflix oder Twitch auf Ihrem Fernseher ansehen können. Das Gerät ermöglicht auch die Installation von Android-Apps, sodass Sie auf dem großen Bildschirm von dort aus auf verschiedene soziale Medien zugreifen können.

Hacker können erhöhte Privilegien erlangen

Das kritische Problem mit der Hardware wurde im Common Vulnerability Scoring System Calculator, der von der National Vulnerability Database betrieben wird, mit 9,3 von maximal 10 bewertet. Der Grund für diese hohe Bewertung ist die Tatsache, dass die Sicherheitslücke in der Streaming-Box die Ausführung von beliebigem Code auf Root-Ebene ermöglicht. Dies entspricht mehr oder weniger der vollständigen Kontrolle über das Gerät.

Mit Root-Zugriff und willkürlicher Codeausführung können schlechte Akteure WLAN-Passwörter, Nachrichten, Kontotoken für soziale Netzwerke, Standortdaten und Kontaktlisten stehlen.

Der Grund, warum die schlechten Schauspieler überhaupt Root-Rechte erhalten können, ist ein Problem mit der Zugriffskontrolle. Ein lokaler Benutzer ohne Berechtigungen kann zu root eskalieren. Das Gerät leidet unter einem Problem mit Debugging-Funktionen, wenn die Verbindung über die serielle Schnittstelle hergestellt wird oder wenn eine Android-Debug-Bridge verwendet wird, selbst als normaler Benutzer.

Ein fehlerhafter Akteur kann Zugriff auf die Shell erhalten, ohne Anmeldeinformationen eingeben zu müssen, und kann dann seine Berechtigungen auf root erweitern.

Sobald der Root-Zugriff erfolgt ist, ist nichts mehr verboten. Alle Daten über den regulären Benutzer des Geräts sind verfügbar sowie die Möglichkeit, andere verbundene Geräte im selben Netzwerk zu überwachen.

Keine Antwort des Herstellers

Der Hindotech HK1 wird von der Shenzhen Hindo Technology Co., Ltd. hergestellt - einem Unternehmen, das in der Region Hongkong tätig ist. Die Forscher von Sick.Codes, die das Sicherheitsproblem mit der Streaming-Box entdeckt haben, sind bei ihren Versuchen, den Hersteller bezüglich des Problems zu kontaktieren, gescheitert. Die offizielle Website des Unternehmens gibt zum Zeitpunkt dieses Schreibens immer noch einen internen Serverfehler 500 auf allen Seiten zurück. Das Problem mit der Hardware bleibt ungelöst.

Dies ist weder der erste noch der letzte Fall von Sicherheitsproblemen mit Heimgeräten. In der Vergangenheit haben wir mehrere Fälle von Geräten mit schwerwiegenden Sicherheitsproblemen behandelt, von so komplexen Aufgaben wie einem Streaming-Setup bis hin zu Objekten, die so einfach wie ein Smart Plug sind . Diese früheren Fälle sollten als Erinnerung dienen, immer zusätzliche Nachforschungen anzustellen, bevor Sie ein Gerät kaufen, das eine Verbindung zum Internet herstellen kann.

October 16, 2020

Antworten