Ein Fehler im Screencast-Protokoll von Netflix ermöglichte es Kriminellen bis vor vier Jahren, Videostreams zu kapern und ahnungslose Opfer zu „rickrollen“. Auch Schlimmeres sei laut Fachleuten möglich gewesen. Betroffen waren unter anderem smarte Fernseher.
Fernseher: Dieser Netflix-Bug sorgte für Ärger
Die Sicherheitslücke stand im Zusammenhang mit dem von Netflix und YouTube in Zusammenarbeit mit Sony und Samsung entwickelten DIAL-Protokoll. Obwohl sie schon 2019 geschlossen werden konnte, veröffentlichte Yunus Çadirci, Forscher, IT-Sicherheitsarchitekt bei der D360 Bank und Entdecker des Bugs, erst letzte Woche erstmals die technischen Einzelheiten der Schwachstelle. Seine Ergebnisse postete er zudem auf Github.
Der sogenannte DIALStranger-Bug beeinträchtigte Fernseher, Spielkonsolen und jede Hardware, wenn diese für ein Gerät in einem lokalen Netzwerk sichtbar war, das ebenfalls das DIAL-Protokoll unterstützt. Çadirci erklärte gegenüber SC Media, dass er mit der Veröffentlichung der Schwachstelle absichtlich jahrelang gewartet hatte. Hintergrund war das weiter bestehende Sicherheitsrisiko.
Er wollte den Herstellern die Zeit einräumen, betroffene Hardware aus dem Verkehr zu ziehen oder Korrekturen vorzunehmen. „Ich beschloss, ein paar Jahre zu warten, bis die Geräte aktualisiert wurden, um mit den Protokolländerungen Schritt zu halten, und die Browser sicherer wurden“, sagte der Forscher.
Lesetipp: Fernseher-Tricks für ein besseres Bild
Das steckte hinter der Sicherheitslücke
Das DIAL-Protokoll ermöglicht einfaches Screen-Casting zwischen Geräten im selben lokalen Netzwerk. Es verkürzt den Prozess für die gemeinsame Nutzung von Videos auf mehreren Bildschirmen und erlaubt es beispielsweise, auf deinem Smartphone Befehle für die Wiedergabe auf dem Fernseher zu erkennen und auszuführen.
An dieser Stelle jedoch setzte die Sicherheitslücke ein, wie Çadirci auf GitHub schreibt: „Ich habe festgestellt, dass [das] Protokoll einige grundlegende Sicherheitsfunktionen nicht abdeckt und die meisten [der] TV-Anbieter [das] Protokoll nicht korrekt implementiert haben. Hacker können jedes Video auf den Fernsehern abspielen, mit oder ohne Benutzerinteraktion.“
Çadirci fand heraus, dass DIAL dem lokalen Netzwerk automatisch vertraute und die Service-URLs der erkannten Fernseher, Konsolen und Co. leicht zugänglich machte. Mithilfe von verschiedenen Tools zum Aufspüren ungesicherter Geräte im Internet stellte er fest, dass mehr als eine Million dieser freiliegenden URLs von böswilligen Akteuren ausgenutzt werden könnten, um Bildschirme fernzusteuern.
So könnte der Bug Kriminellen nutzen
Auf der Black Hat Middle East and Africa-Konferenz demonstrierte der Experte, wie DIALStranger verwendet werden kann, um ein unerwartetes Video – in diesem Fall einen sogenannten „Rickroll“ – auf einem LG-Smart-TV abzuspielen. Er fügte zudem hinzu, dass er die Schwachstelle erfolgreich genutzt habe, um eine Xbox One-Konsole und einen Philips Smart TV im Jahr 2019 fernzusteuern.
Neben Streichen und Unfug könnte DIALStranger allerdings auch böswillig und kriminell eingesetzt werden. Mögliche Beispiele seien die Verbreitung von Propaganda oder das Einnehmen von Geld über bezahlter Werbung, indem Geräte zum Aufrufen bestimmter Videos gebracht werden.
Die Schwachstelle sei vor allem für große Büros oder Einkaufszentren mit vielen Geräten im selben lokalen Netzwerk problematisch, fügte er hinzu.
Experte warnt vor alten Fernsehern
Seinen DIALStranger-Bericht stellte er Netflix erstmals im Januar 2020 zur Verfügung. Das Unternehmen aktualisierte das Protokoll sieben Monate später im August. Die neueste Version verbessert die Sicherheitsprüfungen rund um den CORS-Mechanismus des Protokolls, der die Geräte bisher nicht vor allen potenziellen Angriffsvektoren schützte, wie SC Media berichtet.
Auch die Gerätehersteller haben demnach das Problem in den letzten Jahren auf verschiedene Weise entschärft. Trotzdem warnt Çadirci, dass man selbst nach vier Jahren nicht völlig sicher sei. So entdeckte er erst kürzlich mit einem DIAL-Scanner mehr als ein Dutzend angreifbarer Geräte in seinem Hotel. Er merkte an, dass viele ältere DIAL-Geräte wahrscheinlich nie aktualisiert werden.
„Um ehrlich zu sein, ist dies kein technisches Problem, sondern eine Geschäftsentscheidung. Die Hersteller weisen den Entwicklern in der Regel Aufgaben im Zusammenhang mit neuen Geräten zu, und die alten Geräte bleiben ohne ein verantwortliches Team.“
Quellen: Github, SC Media
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.