Moderne Smart TVs bieten neben herkömmlichem Fernsehen teilweise auch einen Webbrowser an, der es ermöglicht, Webseiten auf dem Fernseher zu betrachten. Die Forscher um den Informatiker Marco Ghiglieri fanden vor eineinhalb Jahren heraus, dass es über den Samsung-eigenen Webbrowser möglich war, verschlüsselte Daten von Webseiten aus­zu­le­sen und gegebenenfalls sogar zu manipulieren, und dies ohne Kenntnis des Benutzers.

Der Browser überprüfte die Vertrauenswürdigkeit des zugrunde liegenden Browserzertifikats nicht, welches als Identifizierungsmerkmal für sichere Internetseiten dient. Den Nutzern wurde jedoch durch die Anzeige des bekannten Schlosses HTTPS Sicherheit suggeriert, ohne einen Warnhinweis über die unsichere Internetverbindung. Beispielsweise bestand die Gefahr, dass Nutzer auf eine gefälschte Internetseite (sogenannte Phishing Seite) geleitet wurden, auf der sich Daten sehr leicht abgreifen lassen. Häufig fallen Online-Banking-Portale dieser Angriffsvariante zum Opfer. Samsung bietet seit Mitte April 2014 ein Sicherheitsupdate zum Download an, durch das nun die Zertifikate korrekt überprüft werden und gegebenenfalls eine Warnung angezeigt wird.

?Die meisten Smart-TVs sind keine statischen Geräte mehr, sondern weisen ähnliche Funktionen auf wie internetfähige Computer. Daher müssen sie von den Herstellern auch als solche behandelt werden und regelmäßige Überprüfungen und Sicherheitsupdates durchgeführt werden?, erklärt Ghiglieri. ?Auf Geräten ohne Sicherheitsupdates sollte man ganz auf die Eingabe sensibler Daten verzichten. Im Zweifelsfall sollte man davon ausgehen, dass sich alle Daten auslesen und manipulieren lassen.?

Betroffen waren im konkreten Fall alle Samsung Smart-TVs der Serien E und F aus den Jahren 2012 und 2013 und ein Gerät aus 2011. Getestet haben die Forscher die Geräte UE55D6500 aus 2011, UE40ES6300 aus 2012 und UE46F6640 aus 2013. Updates werden anscheinend bevorzugt für Fernseher ab 2012 oder jünger bereitgestellt. Daher empfehlen die Forscher, bei Geräten ohne Update keiner als sicher angezeigten Internetverbindung zu vertrauen und so schnell wie möglich die aktuellen Sicherheitsupdates aus dem Internet zu beziehen.

?Smart TVs mit Webbrowsern sind den gleichen Sicherheitsbedrohungen ausgesetzt wie Laptops, Smartphones oder Tablets. Hersteller sollten die Absicherung der Fernseher bereits in der Ent­wicklungs­phase, also ?by Design?, berücksichtigen und fortlaufend aktualisieren, um Sicherheit und Vertraulichkeit zu gewährleisten?, sagt Prof. Dr. Michael Waidner, Leiter des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Kompetenzzentrums EC SPRIDE und Professor für Sicherheit in der Informationstechnik an der TU Darmstadt.

Einen technischen Report zur Problematik finden Sie hier.