Amazon schrapt koppeling via qr-code op Amazon Fire TV wegens beveiligingsrisico

Amazon heeft een functie uit Amazon Fire TV verwijderd waarmee gebruikers hun apparaten konden bedienen via de smartphone of tablet. De koppeling via qr-code was naar verluidt niet veilig en maakte ongewenste overnames van Amazon Fire TV-apparaten mogelijk.

Uit onderzoek van beveiligingsbedrijf Green Line Analytics bleek dat personen die de qr-code van Amazon Fire TV hadden ingescand, het apparaat zomaar kunnen bedienen. Ze hoefden zich daarbij niet eerst aan te melden en hun apparaten hoefden ook niet op hetzelfde netwerk te zijn aangesloten. Green Line Analytics had zijn bevindingen volgens AFTVnews.com gecommuniceerd aan Amazon. Het Amerikaanse bedrijf besloot daarop om de functie tijdelijk te verwijderen. Amazon zegt de problemen te onderzoeken en de functie in de nabije toekomst opnieuw te willen uitrollen.

De functie om apparaten te koppelen via een qr-code was sinds maart beschikbaar. Dankzij deze feature konden Amazon TV Fire-gebruikers hun smartphone of tablet als invoerapparaat gebruiken om bijvoorbeeld tekst in te typen of om de interface te bedienen.

Koppelfunctie met qr-code op Amazon Fire TV

Reacties (36)

The Zep Man

Mediaspelers
Beveiliging
Amazon

7 april 2024 12:00

Uit onderzoek van beveiligingsbedrijf Green Line Analytics bleek dat personen die de qr-code op de Amazon Fire TV hadden ingescand, het apparaat zomaar kunnen bedienen. Ze hoefden zich daarbij niet eerst aan te melden en hun apparaten hoefden ook niet op hetzelfde netwerk te zijn aangesloten.

Je zou als Amazon dit natuurlijk ook kunnen implementeren zoals op de Shield TV wordt gedaan: enkel met een lokale verbinding. Het is echt niet nodig om bediening van het apparaat via het internet te doen.

Gwaihir @The Zep Man • 7 april 2024 13:57

Via internet lijkt me nu juist waardevol in deze. De telefoon die gebruikt wordt kan dan gewoon via het mobiele netwerk z'n ding doen. Aangezien dit vooral voor eventjes / tijdelijk bedoelt lijkt, oftewel voor gasten (thuis of in een professionele setting), is vereisen van hetzelfde netwerk m.i. niet handig.

Ik zou 't beperken in wat je kunt bedienen. Dus wel de redelijk alledaagse dingen als open een app, kies een zender, kies een input. Maar niet de admin dingen als installeer (of verwijder) een app, pas wachtwoorden aan, etc.

vrow @Gwaihir • 7 april 2024 15:32

Dan zou je eigenlijk de code moeten kunnen laten vervallen na zoveel tijd.
Want nu lijkt het erop dat als je eenmaal de code hebt gescand, je als gast het apparaat vervolgens vanuit (je eigen) huis (dus ander huis dan waar de Fire TV staat bedoel ik dan) ook gewoon nog kan besturen. En dat lijkt me inderdaad ongewenst.

[Reactie gewijzigd door vrow op 23 juli 2024 14:39]

Gwaihir @vrow • 7 april 2024 17:51

Hij vervalt al 'na zoveel tijd': 1 week.

Goede toevoeging is wellicht een mogelijkheid 'laat alle codes vervallen'. Die gebruik je dan als eigenaar wanneer je vrienden weer de deur uit zijn of de huurder de zaal of hotelkamer heeft verlaten.

Kaoh

@vrow • 7 april 2024 20:01

Of gewoon een bever de AB. Device wil control, ok?

vrow @Kaoh • 8 april 2024 17:23

Ik denk niet dat je je afstandsbediening aan een bever moet geven.
Dan nog liever een airbag aan mijn sleutelbos.....

Kaoh

@vrow • 8 april 2024 17:27

Haha, ok ik weet niet eens meer wat ik had willen schrijven voor de autocorrect het vermoorde

kozue

Mediaspelers

@Gwaihir • 8 april 2024 07:49

Ik kan me eigenlijk geen enkel scenario voorstellen waarin ik gasten toegang zou willen geven tot mijn apparaat via hun telefoon. Als er iets opgestart moet worden kan ik dat prima zelf, en anders gebruiken ze de afstandsbediening maar, dat werkt toch ook?

vrow @kozue • 8 april 2024 17:25

Chromecast had altijd een gast-modus.
Als je dan een feestje gaf, kon iedereen er eenvoudig naartoe casten zonder dat ze op hetzelfde netwerk hoefden te zitten of iets dergelijks.

Ik heb nooit zulke feestjes overigens, maar als de buren zo'n feestje hebben, krijg ik heel regelmatig op mijn Tv de vraag 'iPhone van xxxx wil verbinden, toestaan?'
Dus zo'n party-modus wordt blijkbaar wel gebruikt.

Septillion Moderator Duurzame Energie & Domotica @Gwaihir • 8 april 2024 18:26

Maar ook daar, waarom? QR lijkt me eenvoudig veilig te maken. Gewoon alleen nieuwe sessie toestaan als de QR getoond wordt en unieke random QR per sessie. Bedoel, er zijn tal van diensten die kunnen koppelen met een korte code, in een QR kan deze zelfs nog lang zijn.

Andere toegang geven is gewoon aan jezelf ookal zou gastmodus natuurlijk een leuke toevoeging kunnen zijn.

Christoxz @The Zep Man • 7 april 2024 13:28

Dat kan ook gewoon en is al heel lang geïmplementeerd. Het staat fout in het artikel dat alleen doormiddel van de QR code je de app kan gebruiken als remote, via lokale netwerk gaat het gewoon prima.

Teun! @The Zep Man • 7 april 2024 17:09

Ben ik benieuwd hoe ik dit gebruik op de Shield? Ik zou graag zon oplossing vinden/gebruiken. Heb er naar gezocht maar niet gevonden.

The Zep Man

Mediaspelers
Beveiliging
Amazon

@Teun! • 8 april 2024 06:52

Installeert de Shield TV applicatie op je smartphone (ook beschikbaar voor iOS). Zorg ervoor dat je smartphone op hetzelfde netwerk is als de Shield TV. Start de applicatie en login op je Shield TV.

sebastienbo @The Zep Man • 7 april 2024 22:05

of mutuele authenticie, op de tv vragen om te accepteren

RobbieB 7 april 2024 11:50

Sure, maar je moet nog steeds fysiek in de buurt zijn om die QR code überhaupt te bemachtigen. Praktisch mogelijk, theoretisch zeer onwaarschijnlijk dat er misbruik van gemaakt wordt.

Dus ze hadden mijns inziens de functie gewoon actief kunnen laten en zsm de fix uit kunnen rollen.

Janoz Moderator PRG/SEA @RobbieB • 7 april 2024 12:06

Punt is dat ten eerste de QR-code altijd getoond wordt zodra het onscreen keyboard getoond wordt, en ten tweede de QR code een week lang geldig is. Tot slot geeft de code toegang vanaf overal ter wereld.

Als ze alleen al een knopje toegevoegd hadden om de QR-code te tonen ipv altijd neer te zetten, en de geldigheid een stuk korter hadden gemaakt was het probleem al gelijk een heel stuk minder groot geweest.

F_J_K Forummoderator @Janoz • 7 april 2024 12:26

En als het zo vaak wordt getoond, is er een redelijke kans dat de qr code voorkomt op selfies, TikTok-filmpjes, etc.

cricque @Janoz • 7 april 2024 13:52

Met tijds gelimiteerde dingen krijg je altijd veel gezeik, mensen snappen dat gewoonweg niet.
Ja maar kan dat niet langer, mijn klanten ... Daar kan het toch ook zolang, waarom niet bij jou ? Ja maar 1 dag is echt te kort. Ja maar een factuur moet minstens 6 maand downloadbaar zijn via een link in een email. Ja maar een wachtwoord reset 15 minuten max ? Dikwijls heb ik zo iets van echt ... En zeker met een wachtwoord reset. Je gaat dat toch onmiddellijk doen ? Enja er kan altijd een telefoontje tussenkomen ofzo, maar dan nog, de meeste gesprekken duren geen 15 minuten. Enja je kan onverwacht wegmoeten, maar ik kan ook komende vrijdag Euro millions cijfers correct hebben. Het heeft een nut dat er een limiet opzit, dusnee ik ga dat niet verhogen. En je moet daar ook niet te genereus mee zijn in mijn ogen. Hoe korter, enja niet elk voorval ga je hebben met een korte periode. Maar liever een korte periode dan dat een functie weken moet openstaan

kodak @RobbieB • 7 april 2024 14:36

Ik ben het met je eens dat het beter was geweest als ze meteen een oplossing zouden bieden. Ze halen namelijk nu niet alleen het probleem weg maar ook de functionaliteit. Functionaliteiten bij klanten verwijderen omdat dit het bedrijf vooral beter uit komt is gewoonlijk niet acceptabel.

Dat iemand fysiek in de buurt van het scherm moet zijn om de qr-code waar te nemen klopt. Maar dat is wat anders dan dat de ongewenste gebruikers nodig hebben. Die hebben namelijk maar aan één persoon genoeg die de qr-code bekend maakt. En dat kan iedere willekeurig persoon zijn die onopzettelijk die code op een foto of film zet en op internet plaatst. En aangezien er alleen al tot 2022 ruim 150 miljoen devices verkocht zijn valt wel voor te stellen dat er nogal wat gebruikers zijn die er last van hebben en bij Amazon gaan klagen. En dat kost Amazon tijd, reputatie en geld. Wat ze waarschijnlijk hoger inschatten dan de schade om het als 'service' niet aan te bieden.

sebastienbo @kodak • 7 april 2024 22:06

Ik zou het geen service noemen.
Maar zonder die functionaliteit maken ze het wel veel moeilijker om hun apparaten te gebruiken waardoor er veel mensen afhaken (ouderen)
In een wereld van 2FA is er nochtans genoeg methoden om zonder wachtwoord te kunnen aanloggen. Want dat is uiteindelijk niet meer veilig dezer dagen.
Voorts vraag ik mij trouwens af wat je hebt om de firestick van iemand over te nemen...

[Reactie gewijzigd door sebastienbo op 23 juli 2024 14:39]

sebastius

@RobbieB • 7 april 2024 12:01

The firm’s exploit description, which it has sent to Amazon and myself, states that if an unauthorized person were to acquire the virtual keyboard/remote QR code somehow, it would allow them to hijack the device by installing unwanted apps. This is because using the QR code to control the Fire TV does not require being on the same network as the Fire TV, nor does it require any kind of account login.

mwah dit is wel ernstig genoeg om de feature te verwijderen. Je zou zelfs de QR code kunnen brute forcen vermoedelijk. Beetje zoals een Teamviewer code zonder authenticatie rond laten slingeren.

[Reactie gewijzigd door sebastius op 23 juli 2024 14:39]

moonlander 7 april 2024 12:25

Maar dan kun je dus ook geen wifi wachtwoord invullen via het toetsenbord op het scherm. Iedereen kan dan je wifi wachtwoord achterhalen. Of inloggen bij amazon...

kozue

Mediaspelers

@moonlander • 8 april 2024 07:54

Maar je wifi wachtwoord heeft iemand pas wat aan als ie in de buurt van je netwerk is. Dit kan van over de hele wereld. Een script kiddie in de VS kan hier dus jouw ding hacken.

SuperDre

Amazon

7 april 2024 19:26

Wist niet eens dat dit er was. Maarja, de zoekfuncrie werkt vaak voor geen meter, zelfs al je de exacte titel invoert wil die nog vaal genoeg niet die titel tonen, wel een hoop andere die geen zak met het keyword te maken hebben. Als met exacte titel je niet krijgt wat je zoekt, dan is er toch iets heel erg mis met je zoekfunctie. Maargoed, dat is sowieso iets dat bijna al die streaming apps bagger in zijn, content tonen, joe moeilijk is het om gewoon ergens een sectie te hebben can A-z, en series dus per titel er staan, niet per los seizoen. En zeker met de prime app, hoe moeilijk is het om als eerste balk de 'continue viewing' te tonen, en daarna gewoon vast zaken als, recently added, leaving within 30 days, en daarna pas mogelijk random genres te tonen.

uiltje @SuperDre • 8 april 2024 02:39

Ik verbaas me hier ook over. Heb nu Odido TV en dat werkt op zich redelijk. Maar waarom zo moeilijk maken om in de TV gids te komen? Waarom kan ik niet over dagen heen scrollen (in plaats van naar dezelfde tijd te springen op een andere dag)? Waarom gaat de TV gids niet naar kanaal 1 als ik 1 in druk in de gids? Waarom moet je bij elke TV app gigantisch zoeken naar je opnames? Welke idioot heeft die GUI's in elkaar gezet en waarom lijkt iedereen diezelfde idioot in te huren? Ik snap er in ieder geval niets van.

Arjen42 @uiltje • 8 april 2024 07:14

waarom lijkt iedereen diezelfde idioot in te huren?

Volgens mij hebt je de oorzaak van alle problemen op de wereld gevonden.

Dark Angel 58 8 april 2024 11:05

Ze hoefden zich daarbij niet eerst aan te melden en hun apparaten hoefden ook niet op hetzelfde netwerk te zijn aangesloten.

Dat is niet zo slim... De bedrijven en consumenten moeten dit functie wel inschakelen, zodat QR niet uit de apparaat wordt gesloopt.

Llopigat 8 april 2024 21:21

Fire TV is toch een ongelofelijke afvalbak van reclame geworden. Dus ja, het is toch niet echt meer houdbaar.

mutley69 10 april 2024 21:17

QR-codes hebben voor zo ver mij bekend is geen mechanisme om vb. een URL na te kijken of die wel komt van waar deze beweert te zijn. Een QR-code is dus een gigantisch veiligheidsrisico - het is de zoveelste security-dwaasheid van Microsoft. Betalen via QR doe ik nooit.

devilkin @dez11de • 7 april 2024 13:30

Leuk in theoie, onhaalbaar in de praktijk.

Wat met ongekende problemen? Ik de USA zie ik de class action lawsuits al afkomen.

De verplichting van gekende problemen op te lossen en lang support te bieden daarentegen zou wel een goed idee zijn.

Grimm @dez11de • 7 april 2024 13:16

lol

ultimasnake @dez11de • 7 april 2024 13:33

Gevolg niemand durft meer wat uit te brengen want niets is volledig dicht te timmeren. Een beveiligingsprobleem ontstaat pas bij gebruik (want als je het kan testen of weet dan fix je het voor release) of daar mag je minstens vanuit gaan

Ben je zelf een (software) developer? Dan snap je wel waarom jouw opmerking kant nog wal slaat

[Reactie gewijzigd door ultimasnake op 23 juli 2024 14:39]

david-v

@dez11de • 7 april 2024 13:37

Dat betekent dat vrijwel geen enkel apparaat uitgebracht kan worden. Geen routers, geen mobieltjes, geen tv's, slimme wasmachine, geen laptops/PC's.

Wel lekker rustig.

Leuke gedachte, maar vrijwel onmogelijk.

GertMenkel @dez11de • 7 april 2024 14:51

Daar wordt aan gewerkt: https://digital-strategy....cies/cyber-resilience-act

jeanj @dez11de • 7 april 2024 15:39

Strikt genomen is dit geen beveiligingsprobleem, maar een feature.
Maar een feature waarvan makkelijk misbruik gemaakt kan worden

Het is alsof je je wachtwoord zichtbaar maakt. Prima als er niemand in de buurt is of je niet een tik tok filmpje aan het maken bent…. Etc.

Het enige verschil is dat men de code altijd toonde, beter was een knop geweest om hem aan/uit te zetten. En altijd een nieuwe genereren, die max 5/10 minuten geldig is…

[Reactie gewijzigd door jeanj op 23 juli 2024 14:39]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (36)

Sorteer op:

Weergave: