{"id":26812,"date":"2021-05-21T12:49:13","date_gmt":"2021-05-21T10:49:13","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26812"},"modified":"2021-05-25T08:02:02","modified_gmt":"2021-05-25T06:02:02","slug":"rsa2021-tv-remote-listening-device","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rsa2021-tv-remote-listening-device\/26812\/","title":{"rendered":"Eine Fernbedienung als Abh\u00f6rger\u00e4t"},"content":{"rendered":"

Alltagsobjekte werden in der Regel als zuverl\u00e4ssig betrachtet. Nehmen wir beispielsweise eine Fernbedienung f\u00fcr den Fernseher: Es ist schwer sich vorzustellen, dass eine Fernbedienung Gespr\u00e4che belauscht, jedoch erreichten die Sicherheitsforscher J. J. Lehman und Ofri Ziv des israelischen Unternehmens Guardicore genau das. Sie berichteten auf der RSA Conference 2021<\/a> \u00fcber ihre Forschungsergebnisse.<\/p>\n

Wie die Sicherheitsforscher die Fernbedienung hackten<\/h2>\n

Die TV-Fernbedienung f\u00fcr die Comcast Xfinity X1 Set-Top-Box diente Lehman und Ziv als Forschungsobjekt<\/a>. Diese Fernbedienung ist in den USA sehr beliebt \u2013 laut den Forschern wird sie von \u00fcber 10 Millionen Benutzern verwendet. Der praktische Alltagshelfer unterst\u00fctzt TV-Sprachsteuerung. Daf\u00fcr ist die Fernbedienung mit einem Mikrofon und die TV-Box mit einem recht funktionst\u00fcchtigen Prozessor ausgestattet.<\/p>\n

Im Ger\u00e4t sind au\u00dferdem zwei Daten\u00fcbertragungstechnologien implementiert. F\u00fcr den Wechsel der Fernsehsender und andere einfache Aktionen wird ein Standard-Infrarotsender verwendet, der wenig Strom braucht. Deswegen kann die Fernbedienung mit Batterien betrieben werden, die auch lange halten.<\/p>\n

Falls eine h\u00f6here Geschwindigkeit f\u00fcr die Daten\u00fcbertragung erforderlich ist, verwendet die Fernbedienung eine Funkschnittstelle, \u00fcber die nicht nur Daten an die Set-Top-Box \u00fcbertragen, sondern auch von ihr empfangen werden k\u00f6nnen. Die Funkschnittstelle verbraucht mehr Strom und deswegen wird sie nur verwendet, wenn es wirklich notwendig ist.<\/p>\n

Wie viele moderne Ger\u00e4te ist diese Fernbedienung im Grunde genommen ein angeschlossener Computer \u2013 und kann gehackt werden.<\/p>\n

Nach der \u00dcberpr\u00fcfung der Firmware (eine Kopie davon ist praktischerweise auf der Festplatte der Set-Top-Box gespeichert) konnten die Forscher herausfinden mit welchen \u00c4nderungen die Firmware der Fernbedienung befehlen w\u00fcrde, das Mikrofon einzuschalten und die Audioaufnahmen \u00fcber einen Funkkanal zu senden.<\/p>\n

Die \u00c4nderungen an der Firmware waren allerdings nicht ausreichend \u2013 sie mussten auch noch auf der Fernbedienung hochgeladen werden und das vorzugsweise aus der Ferne, bzw. mit einem kontaktlosen Verfahren. Zu diesem Zweck untersuchten Lehman und Ziv, wie die Set-Top-Box mit der Fernbedienung zur Aktualisierung der Software kommuniziert.<\/p>\n

Sie entdeckten, dass die Fernbedienung den Aktualisierungsvorgang starten muss. Alle 24 Stunden schickt die Fernbedienung eine Anfrage an die Set-Top-Box und erh\u00e4lt entweder eine verneinende Antwort oder die Best\u00e4tigung, dass eine neue Version der Software von der Set-Top-Box auf die Fernbedienung heruntergeladen werden kann.<\/p>\n

Die Forscher entdeckten auch einige bedeutsame M\u00e4ngel in den Mechanismen f\u00fcr die Kommunikation zwischen der Fernbedienung und der Xfinity-Box. Erstens wird die Authentizit\u00e4t der Firmware nicht von der Fernbedienung gepr\u00fcft, d. h. es wird jede Art von Firmware von der Set-Top-Box (oder dem Computer des Hackers, der die Funktion der TV-Box \u00fcbernimmt) heruntergeladen und installiert.<\/p>\n

Zweitens werden die Informationen, die die Set-Top-Box und die Fernbedienung austauschen, zwar verschl\u00fcsselt, aber es handelt sich um eine schwache Verschl\u00fcsselung. Die Fernbedienung akzeptiert Befehle (und f\u00fchrt sie aus), die in Klartext geschickt werden und mit \u201eVerschl\u00fcsselung deaktiviert\u201c gekennzeichnet sind. Die Anfragen der Fernbedienung sind immer verschl\u00fcsselt und k\u00f6nnen nicht entschl\u00fcsselt werden, aber wenn man wei\u00df, wie der Kommunikationsmechanismus funktioniert, ist es m\u00f6glich erfolgreich zu erraten, wie die Anfrage der Fernbedienung lautet und die richtige Antwort zu geben.<\/p>\n

Die Kommunikation sieht in etwas so aus:<\/p>\n

\u201eYdvJhd8w@a&hW*wy5TOxn3B*El06%D7?\u201c<\/p>\n

\u201eJa, es steht ein Firmware-Update zum Download bereit.\u201c<\/p>\n

\u201eCj@EDkjGL01L^NgW@Fryp1unc1GTZIYM.\u201c<\/p>\n

\u201eDie Datei wird gesendet, bitte akzeptieren.\u201c<\/p>\n

Drittens ist es recht einfach einen Fehler im Modul der Firmware auszul\u00f6sen, das f\u00fcr die Kommunikation mit der Fernbedienung zust\u00e4ndig ist, wodurch das Modul abst\u00fcrzt und neu startet. Das bietet den Angreifern die Gelegenheit, eine kurze Zeit lang die einzigen zu sein, die die Befehle an die Fernbedienung erteilen.<\/p>\n

Zusammengefasst ist f\u00fcr das Hacken der Fernbedienung folgendes notwendig:<\/p>\n