Kwetsbaarheden in HbbTV geven hackers toegang tot televisies

Televisies die zijn uitgerust met Smart TV-functionaliteit op basis van de Hybrid Broadcast Broadband TV-standaard zijn volgens Duitse onderzoekers te kraken door kwetsbaarheden in de implementatie. Zo konden Samsung-tv's zelfs ingezet worden als Bitcoin-miners.

Samsung HbbTV logoHet onderzoek naar kwetsbaarheden van HbbTV-televisies is uitgevoerd door drie Duitse onderzoekers verbonden aan de Technische Universiteit van Darmstadt en de firma Nruns. Zij onderzochten de Samsung UE40ES6300, UE40D6200 en UE46ES7000, televisies die Smart TV-functionaliteit op basis van de HbbTV-standaard ondersteunen. Tijdens het onderzoek kwamen de onderzoekers tal van kwetsbaarheden tegen die door aanvallers op afstand benut kunnen worden, zo schrijft SC Magazine.

Een aantal aanvallen kon uitgevoerd worden zodra een kijker overschakelde naar een ander kanaal. De firmware van de televisie zal op dat moment nieuwe data ophalen van internet en de betreffende zenders. Aanvaller zouden aangepaste url's naar een toestel kunnen sturen om zo bepaalde content te tonen. Ook zouden via gemanipuleerde dns-server andere dvb-streams naar een toestel gestuurd kunnen worden, mede omdat de opgevraagde tv-stations geen ssl implementeren en dus man-in-the-middle-aanvallen mogelijk worden.

Het zou de onderzoekers zijn gelukt om http-verzoeken zo aan te passen dat een HbbTV-toestel de BitcoinPlus-javascriptcode opent en daarmee een televisie omvormt tot een Bitcoin-miner. Ook zouden omroepen die middels HbbTV en Google Analytics statistieken inzamelen over het kijkgedrag gemanipuleerd kunnen worden, waardoor kijkcijfers zijn te beïnvloeden.

Kwetsbaarheden in de diverse Smart TV-platformen zijn al vaker gevonden. Zo werd in december vorig jaar een lek gevonden waardoor er root-toegang mogelijk was op bepaalde toestellen van Samsung. Dit was echter geen kwetsbaarheid in HbbTV. Dit platform wordt in Europa naar schatting al door 20 miljoen tv-kijkers gebruikt. In Nederland voert de NPO testen uit met HbbTV, voorlopig via zijn satellietkanalen. Ook SBS en RTL zien brood in HbbTV.

Door Dimitri Reijerman

Redacteur

Feedback • 05-06-2013 19:44 58

05-06-2013 • 19:44

58

Lees meer

Ziggo gaat HbbTV in 2016 in hele verzorgingsgebied aanbieden
Ziggo gaat HbbTV in 2016 in hele verzorgingsgebied aanbieden Nieuws van 24 december 2015
UPC voorlopig enige grote tv-aanbieder met HbbTV-ondersteuning
UPC voorlopig enige grote tv-aanbieder met HbbTV-ondersteuning Nieuws van 7 augustus 2014
'Miljoenen smart-tv's zijn kwetsbaar door aanval op HbbTV-protocol'
'Miljoenen smart-tv's zijn kwetsbaar door aanval op HbbTV-protocol' Nieuws van 10 juni 2014
NPO komt met HbbTV-toepassingen voor NOS Journaal en WK voetbal
NPO komt met HbbTV-toepassingen voor NOS Journaal en WK voetbal Nieuws van 27 mei 2014
Onderzoeker: content iOS-apps makkelijk te kapen via http-redirect
Onderzoeker: content iOS-apps makkelijk te kapen via http-redirect Nieuws van 29 oktober 2013
Websites klanten Digitalus en Webstekker verspreidden malware na dns-hack
Websites klanten Digitalus en Webstekker verspreidden malware na dns-hack Nieuws van 5 augustus 2013
Kijkers Samsung Smart-tv's waren te bespioneren via camera
Kijkers Samsung Smart-tv's waren te bespioneren via camera Nieuws van 1 augustus 2013
Nederlandse tak HbbTV Forum kiest voor hbbtv 1.5
Nederlandse tak HbbTV Forum kiest voor hbbtv 1.5 Nieuws van 28 maart 2013
Toshiba brengt in juli M9 uhd-tv-serie uit - update
Toshiba brengt in juli M9 uhd-tv-serie uit - update Nieuws van 20 maart 2013
B&O kondigt BeoVision 11 met smart tv-functionaliteit aan
B&O kondigt BeoVision 11 met smart tv-functionaliteit aan Nieuws van 12 oktober 2012
Uitzending Gemist-app uitgebracht voor Samsung-tv's
Uitzending Gemist-app uitgebracht voor Samsung-tv's Nieuws van 8 oktober 2012
Samsung-tv's gaan in 2012 HbbTV ondersteunen
Samsung-tv's gaan in 2012 HbbTV ondersteunen Nieuws van 6 december 2011
UPC legt laatste hand aan ontwikkelkit voor Horizon-platform
UPC legt laatste hand aan ontwikkelkit voor Horizon-platform Nieuws van 10 september 2011
Meer producten en artikelen
Televisies Netwerk en systeembeheer

Reacties (58)

-Moderatie-faq
58
56
27
2
0
12
Wijzig sortering
Zyppora 5 juni 2013 19:49
Het zou de onderzoekers zijn gelukt om http-verzoeken zo aan te passen dat een HbbTV-toestel de BitcoinPlus-javascriptcode opent en daarmee een televisie omvormt tot een Bitcoin-miner.
Als dit al mogelijk is dan is de volgende stap natuurlijk van die 20 miljoen TVs een botnet op te zetten. Mooie techniek hoor jongens, maar misschien moeten we toch het stof van de QA afdeling blazen en de producten daar eerst maar weer eens doorheen halen voordat we ze op de markt brengen.
Bram S @Zyppora5 juni 2013 20:15
Ik vraag me alleen af in hoeverre die TV's ook echt nuttig als BTC-miner ingezet kunnen worden. De meeste TVs die ik tot nu toe heb gezien hebben toch niet een overdaad aan processorkracht. Het lijkt mij handiger om een botnet op te zetten waarbij je op zoek gaat naar PCs die een AMD (of desnoods NVidia) videokaart in huis hebben. Is misschien langer zoeken, maar het levert ook veel meer op.
SKiLLa @Bram S5 juni 2013 21:09
Niet waar. De gemiddelde smart TV heeft net zoveel rekenkracht als een 10 jaar oude middle-of-the-road desktop machine. Daarnaast draait een TV geen firewall en/of AV software en is dus een makkelijk slachtoffer; detectie is veel onwaarschijnlijker en vermoedelijk blijft de TV dus langer onder controle van de aanvaller dan een gemiddelde desktop/laptop. Op die manier is/blijft de cumulatieve 'capaciteit' voor de aanvaller dus aanzienlijk hoger op de lange termijn.

Maar goed, smart TVs zijn niet de meest handige devices voor 'coin mining' als payload; DDoS aanvallen of spam-runs zijn echter ook nog steeds lucratief.
Schnoop @SKiLLa6 juni 2013 09:52
Als ik het goed begrijp hebben ze via een man-in-the-middle attack ervoor gezorgd dat de samsung TV een pagina opent met een javascript bitcoin miner.
Het is dus niet mogelijk om de TV "Over te nemen" of om er software op te installeren (tenminste dit lees ik in het artikel).

Spam-runs zullen dus niet mogelijk zijn, DDOS enkel in de vorm van page requests. Afgezien daarvan moet je dus ook nog eens succesvol een man-in-the-middle attack uitvoeren waardoor je dus bij alle potentiële aan te vallen TV's ook nog eens eerst de router moet gaan hacken (meest voor de hand liggende optie).

Het is natuurlijk prima om hier onderzoek naar te doen maar persoonlijk zie ik het nog niet zo snel gebeuren dat hiermee een "mega botnet" opgezet wordt. En ook al zou je dit lukken dan is een javascript miner vrij nutteloos zolang hij geen GPU kan benaderen welke een beetje kracht heeft.

Als je dan toch illegaal bitcoins zou willen minen zet dan een botnet op met pc's. Veel makkelijker en levert meer op.
SKiLLa @Schnoop6 juni 2013 18:59
Deze (relatief onschuldige) JS payload is nog maar het begin, remote code-execution (RCE) is de logische volgende stap. En ik zie dat juist wel heel snel gebeuren; SmartTVs zijn helemaal niet gehardened en security onderzoekers waarschuwen hier al jaren voor. Sommige beweren zelfs dat het de 'next big thing' is (na Smartphones).

Als het al lukt om met een SSL exploit (memory corruption) uit de Sandbox van Chrome te springen (zie nieuws vorige week) en RCE te realiseren (waarbij Chrome door de meeste experts by-far als het 'most hardened' gekenmerkt wordt), dan is een SmartTV natuurlijk een zacht eitje om te breken. Uiteindelijk blijft het een Linux variant met - zo ongeveer per definitie - verouderde libraries; het is echt slechts een kwestie van tijd in mijn opinie.
Schnoop @SKiLLa7 juni 2013 11:29
Blijft het feit dat je een man-in-the-middle attack uit moet voeren.

Uiteindelijk is de stelling in dit artikel daarom equilevant aan de volgende:
Alle pc's op aarde hebben een security bug erin. Zodra ik een man-in-the-middle attack uitvoer kan ik een javascript bitcoin miner teovoegen aan alle HTTP requests....

[Reactie gewijzigd door Schnoop op 24 juli 2024 13:24]

Gregyor @SKiLLa6 juni 2013 08:26
Uit nieuwsgierigheid, jij schrijft dat een DDoS aanval lucratiever is, in welk opzicht is dit lucratief. Wat kun je er mee verdienen? Dit is echt een lekenvraag, ik weet het, maar ik dacht dat een DDoS vrij onschuldig (op een boel ergernis na) is.

gr. Greg
Anoniem: 118226 @Gregyor6 juni 2013 09:07
DDoS is niet vrij onschuldig.

DDoSsen kunnen op bestelling worden uitgevoerd. Iemand de controle heeft over een botnet laat zich dus betalen om er 1 uit te voeren (lucratieve business).

Een DDoS kan uitgevoerd worden om een andere hack poging te camoufleren: terwijl beheer alle zeilen bijzet om de DDoS het hoofd te bieden wordt er niet gelet dat er elders wordt ingebroken.
YopY @Gregyor6 juni 2013 09:37
Uit nieuwsgierigheid, jij schrijft dat een DDoS aanval lucratiever is, in welk opzicht is dit lucratief. Wat kun je er mee verdienen? Dit is echt een lekenvraag, ik weet het, maar ik dacht dat een DDoS vrij onschuldig (op een boel ergernis na) is.
Een tijdje geleden werden de websites van de banken geDDOSed, waardoor mensen niet bij hun internetbankieren konden of iDEAL betalingen konden uitvoeren.

Tegelijkertijd werden er meer phishing mails gestuurd naar klanten van die banken, waarin ze refereerden naar de technische storing om zo te proberen logininformatie en TAN-codes en dergelijke te bemachtigen. En waarschijnlijk is dat bij een paar mensen ook gelukt.
sebastius @Bram S5 juni 2013 20:38
Nou ja, als je enkele tien/honderd-duizenden TV's in je botnet hebt, gratis en voor niks, moet dat toch wat opleveren. Niet veel misschien, maar alle beetjes helpen!
Origin64 @Bram S5 juni 2013 20:47
Niet veel CPU-power nodig om te DDOS'en...ik denk dat er zat 'nuttigs' met die tvs gedaan kan worden.

[Reactie gewijzigd door Origin64 op 24 juli 2024 13:24]

Fish @Bram S5 juni 2013 22:36
Je kan natuurlijk de standby mode gebruiken als je veel cputjes wil gebruiken, beeld uit ledje aanzetten op de vookant. maar niet uitgaan en je helemaal suf rekeken

de meeste tv's staan toch meer uit dan aan.
M-Opensource @Ayporos6 juni 2013 13:48
Dus de tv die je niet hebt zet je altijd helemaal uit?
Ayporos @M-Opensource7 juni 2013 17:07
Ja, goed he! :+
Damic @Zyppora5 juni 2013 23:55
En dan afvragen waaro mer ineens zoveel tv's de geest geven aan oververhitting. Als je het zo kunt instellen dat ie alleen maar mijnt als het beeld afstaat ben je goed bezig :)
SuperDre @Zyppora6 juni 2013 09:43
Mooie techniek hoor jongens, maar misschien moeten we toch het stof van de QA afdeling blazen en de producten daar eerst maar weer eens doorheen halen voordat we ze op de markt brengen.
alsof dit soort dingen door een QA gevonden worden.. Als dat werkelijk zo zou zijn, dan zouden we toch helemaal geen 'lekken' in geen enkele software meer hebben waarbij een QA afdeling gebruikt wordt (en dat zijn er toch wel wat bij de grote jongens)..

Sommige 'lekken' zijn gewoon niet van te voren te bepalen omdat je er simpelweg niet aan denkt, voor veel 'lekken' moet je namelijk behoorlijk gekke dingen doen/bedenken om ze uberhaupt voor te laten komen, tja, als je dan eenmaal die methode kent, ja DAN is het simpel...
Iets wat vandaag '100%' secure lijkt te zijn, kan morgen zo lek als een mandje zijn..

Net als hier, ik vraag me af hoe je uberhaupt er zo 'simpel' voor kunt zorgen dat je op de tv even er tussen kunt gaan zitten als de gebruiker alleen maar de standaard apps/tv functionaliteiten gebruikt.. Veel van dit soort kwetsbaarheden zijn allemaal theoretisch omdat het in de praktijk nogal lastig is voor een normale gebruiker om de situatie te creeeren..
SKiLLa @elmuerte5 juni 2013 21:12
Ehhh, elke zichzelf respecterende industrie doet niet alleen functionele/gebruikers/load testen (SCAT, GAT, PAT) maar ook beveiligingstests (pen-tests/code reviews/etc.). Maarja, TVs zijn net als smartphones 6 maanden na introductie end-of-life en dus heb je inderdaad gelijk dat er veel te weinig/niet grondig genoeg getest wordt ...
Positron 5 juni 2013 21:08
Dit is wel één van de redenen waarom ik niet zo happig ben op TV's met een ingebouwde camera. Dat er een webcam in m'n PC zit kan ik wel hebben, die klap ik toch dicht. Maar een camera die 24/7 m'n complete woonkamer overziet vind ik toch minder. Ik geloof dat er tegenwoordig wel TV's zijn waarbij je de camera weg kunt draaien. En anders afplakken dus, dat is niet heel fraai.

[Reactie gewijzigd door Positron op 24 juli 2024 13:24]

maestroo @Positron5 juni 2013 21:30
Men zou verplicht een hardwired ledlampje bij elke cameramodule moeten implementeren, ben je 100% zeker :)
Anoniem: 411873 @maestroo5 juni 2013 21:38
Tenzij het kapot is. Ik heb liever échte zekerheid.
Eloy @Anoniem: 4118735 juni 2013 22:08
Kunnen ze het niet in een keer doorschakelen? Dat als het lampje kapot is de camera niet meer werkt?
supersnathan94 @Eloy5 juni 2013 22:54
ja. gewoon in serie zetten van een ledlampje. Camera als massa gebruiken en als je lampje het niet meer doet (gewoon simpele one-way diode) dan houd de camera er ook mee op.
johnkeates @supersnathan946 juni 2013 02:43
Dan krijg je weer consumentenorganisaties die klagen dat de TV's weken weg zijn om dat de cameramodule stuk is door een kapotte LED en mensen dan dus hun apparaat niet kunnen gebruiken..

De volgende stap is dan losse camera modules, en dan zijn we dus weer bij af.
Ortep @Eloy6 juni 2013 07:42
Dat wordt bij echt veilige systemen net andersom gedaan. Lampje aan is veilig, lampje uit is onveilig. Dan is nl of het systeem kapot, of het lampje. En dan moet je dus zoeken wat er aan de hand is. Bij een TV met camera zou je dat kunnen doen met een tweekleuren Led...rood is 'stand-by' of camera uit. Groen is actief. Uit is hoe dan ook: Er is iets mis.
Hadespuiter @Anoniem: 4118736 juni 2013 03:57
Hoe vaak gaan led's stuk?

Ik heb persoonlijk in heel m'n leven in tientallen apparaten nog nooit een kapotte led gehad.
Timfonie @Positron5 juni 2013 23:18
Een camera kun je eenvoudig afplakken, maar een microfoon zou je (er uit) moeten slopen om er zeker van te zijn dat het geen afluistermogelijkheden biedt bij een gehackte TV (of welk apparaat dan ook).
ASS-Ware 5 juni 2013 23:12
Quote:
Een aantal aanvallen kon uitgevoerd worden zodra een kijker overschakelde naar een ander kanaal. De firmware van de televisie zal op dat moment nieuwe data ophalen van internet en de betreffende zenders.

Deze snap ik niet.
Waarom zou een TV data ophalen van het internet als je overschakelt naar een ander kanaal?
Oeroeg @ASS-Ware5 juni 2013 23:24
Dat heeft met de implementatie van HbbTV te maken.
Zodra je zapt naar een ander kanaal zoekt hij op of er HbbTV hiervoor beschikbaar is (O.a. uitzending gemist bij NPO).

Dit is gewoon een kwestie van een url ophalen en de html hiervan op het scherm vertonen.
Als je ergens tussen jouw tv en de server de boel kunt manipuleren, dan kun je zo'n tv andere dingen laten doen.
DeTeraarist 6 juni 2013 00:20
Mooi verhaal, maar als je ergens een DNS kunt manipuleren en hosts gaat immiteren dan is gewoon alles onveilig wat een internetverbinding heeft. Dat heeft weinig met HbbTV te maken, maar meer met de manier waarop internet werkt. Bedoel, ik rommel wat met je DNS en nu.nl verwijst nu wel naar nu.nl, maar stiekem door mij gehost, of noem maar een website van een willekeurige applicatie. Daar staat toevallig een update op die uiteraard geinstalleerd gaat worden. Want tsja, de website ziet er hetzelfde uit en ik heb ook een SSL certificaat gemaakt waardoor het er allemaal legitiem uitziet. Alleen is die update dan geen update maar een bitcoin miner.
mvdnes @DeTeraarist6 juni 2013 00:47
Het idee van SSL is dat alleen de eigenaar van het domein aan een geldig certificaat kan komen. Nou zijn er wel vaker lekken geweest, maar ik neem aan dat zodra dat ontdekt wordt in de meeste gevallen het certificaat ongeldig wordt verklaard. Ook zou zo'n TV van certificaat 'pinning' gebruik kunnen maken, zodat er slechts 1 specifiek certificaat geldig is. Niet dat dit nu al gebeurt, maar SSL lijkt mij in zo'n geval toch wel een goede oplossing.
frickY 5 juni 2013 20:05
Dit soort dingen zullen we de komende jaren nog veel vaker gaan zien, naarmate meer en meer apparatuur op internet wordt aangesloten.
analogworm @frickY6 juni 2013 00:34
Yup, daar kan je donder op zeggen..

daarom is het wel goed dat de gaten in 'simpele' apparaten als tv's gevonden worden.. Hopelijk wordt er toch meer aandacht aan besteed en is de beveiliging op orde als vrijwel alles Online gaat/staat.. Al is dat misschien een ijdele hoop..
ShakerNL 5 juni 2013 20:05
Ik ben benieuwd hoe dat zit met digitale ontvangers, want ik heb een VU+ Duo met HbbTV ondersteuning.
cdwave @ShakerNL6 juni 2013 10:27
Daar geldt dat ook voor - de kwetsbaarheid zit in het Hbbtv "protocol", niet de specifieke implementatie ervan door je TV of settop.
Anoniem: 286841 5 juni 2013 21:08
Hebben die smart-tv's geen camera, voor bewegingscommando's?
Kunnen ze je opnemen in de woon(slaap) kamer.
Vul zelf maar in.
camelrulez 5 juni 2013 21:12
Onprettig idee, gezien je op de nieuwere modellen ook al kunt Skypen.
(jep, paranoia mode staat aan)
Eloy 5 juni 2013 21:56
Ik kan me nog herinneren dat er een paar jaar geleden in de Computer Totaal een ingezonden brief stond met de vraag of TV's virussen kunnen bevatten.

Antwoord: Nee :+
gjmi @Eloy6 juni 2013 07:16
Toen niet, nu wel :)

Even antivirus op mijn TV zetten. Het moet niet gekker worden!
jekkos 5 juni 2013 22:14
Geloof precies niet onmiddellijk dat je zo bitcoins kan minen, tenzij ze voor de tv's ook een JVM geport hebben, als je de source van die bitcoin miner plus eens bekijkt zie je zo dat de implementatie niet in pure javascript is gedaan maar in java.

Er wordt vanuit javascript een applet tag weggeschreven naar de pagina die dan een jar download. Als de browser geen java plugin heeft (volgens mij is dat hier niet het geval.. oracle heeft Java nooit naar MIPS geport), is het een hoax.

www.bitcoinplus.com/jar/bitcoinplus-miner.jar

http://www.bitcoinplus.com/js/miner.js

(source kan je even in een beautifier gooien om het wat meer leesbaar te maken: http://jsbeautifier.org/ )

[Reactie gewijzigd door jekkos op 24 juli 2024 13:24]

-=bas=- @jekkos6 juni 2013 06:02
Met Javascript kan je ook net zo goed MD5 hashes berekenen.
Daarvoor hoef je echt geen aplet te gebruiken.
gjmi @jekkos6 juni 2013 07:13
Er is niet alleen een Java implementatie. En de code is open source dus je kunt het in de meest exotische talen omschrijven als je wilt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq