Wie eine Studie des Branchenverbandes gfu ermittelt hat, ist in Deutschland mittlerweile mehr als jeder zweite Fernseher ein smartes Gerät mit Internet-Anschluss, wobei rund zwei Drittel der TVs auch tatsächlich mit dem Internet verbunden sind. 31 Prozent der Haushalte nutzen die Inhalte aus dem Netz dabei regelmäßig – vom Zugriff auf Mediatheken und Streaming-Diensten bis zum Abhalten von Videokonferenzen oder dem parallelen Austausch auf Social Media-Plattformen. Doch die Vernetzung unserer Fernsehgeräte bringt auch Risiken mit sich, denn anders als herkömmliche Endpunkte sind IoT-Geräte wie Smart-TVs in vielen Fällen schlecht gegen Cyberattacken abgesichert. So wurden in der Vergangenheit immer wieder Vorfälle bekannt, bei welchen Hacker smarte Fernsehgeräte manipuliert haben, um Nutzer auszuspionieren, Virus-Infektionen zu streuen oder wertvolles geistiges Eigentum zu stehlen.

Vorteile von Hybrid-Apps im Smart-TV-Sektor

Einer der einfachsten und direktesten Wege, vernetzte TV-Geräte zu manipulieren, ist dabei der Angriff auf eine der darauf laufenden Applikationen. Und das ist hier leichter als gedacht, da im Smart-TV-Sektor vor allem Hybrid-Applikationen zum Einsatz kommen.

Hybrid-Apps stellen eine Kombination zwischen Nativen Apps und Web-Apps dar und müssen, da sie verschiedene Cross-Plattform gleichzeitig bedienen, nur einmal entwickelt werden. Die hybride Technik ermöglicht es den Entwicklern, die Anwendung bequem in HTML oder JavaScript zu erstellen und sie dann in eine andere Anwendungsebene zu verpacken. Die App wird also als ein Basiscode entwickelt, der dann einfach zwischen verschiedenen Plattformen portiert werden kann. Für die Portierung von Apps auf smarte TV-Geräte sind hybride Anwendungen deshalb die erste Wahl und auch im Gaming- und Streaming-Bereich stehen sie hoch im Kurs.

Doch so praktisch hybride Anwendungen gerade im IoT-Umfeld auch sind, so risikobehaftet sind sie auch, denn im Vergleich zu herkömmlichen mobilen Anwendungen sind sie deutlich anfälliger für Cyberangriffe. Dies liegt vor allem daran, dass JavaScript und HTML typischerweise weniger Geschick beim Reverse Engineering und der Modifikation von Codes erfordern als der native Binärcode, der in herkömmlichen Apps verwendet wird. Und da die Hybrid-App über einen Webbrowser und nicht über die Anwendung selbst ausgeführt wird, ist es für Angreifer auch deutlich einfacher, ferngesteuerte Man-in-the-Middle-Angriffe durchzuführen, bei denen Daten während der Übertragung abgefangen werden.

Das droht Smart-TV- Endnutzern und Content-Anbietern

Greifen Hacker Apps an, haben sie es in vielen Fällen vor allem auf das Abgreifen von gespeicherten Berechtigungsnachweisen wie Passwörter oder Zahlungsinformationen abgesehen, die sie auf dem Schwarzmarkt verkaufen oder für weitere Betrugs- und Phishing-Angriffe verwenden. In dieser Hinsicht sind Smart-TVs glücklicherweise etwas weniger attraktive Ziele, da die meisten Apps, wie z. B. Streaming-Dienste, die sensiblen Zahlungsdaten eher selten gespeichert haben. Nichtsdestotrotz besteht die Gefahr, dass Angreifer nach einem erfolgreichen Hack E-Mails und andere persönliche Informationen des Users auslesen oder sich Zugriff auf den Authentifizierungs-Token verschaffen, der von der App beim Verbinden mit dem Server verwendet wird. Dieser kann für den Diebstahl der Konto-Zugriffsdaten verwendet werden, die im Darknet hoch gehandelt werden.

Weitaus größere Sorgen dürfte den TV-Content-Anbietern aber die stetige Bedrohung durch Piraterie und den Diebstahl geistigen Eigentums bereiten. Denn das Cracken einer Applikation gewährt Angreifern letztlich auch Zugriff auf Digital Rights Management (DRM)-Schlüssel, die eingesetzt werden, um zu verhindern, dass Inhalte illegal kopiert und weitergegeben werden. Wie Untersuchungen von Arxan Technologies ermittelt haben, stehen Filme und Fernsehsendungen bei Raubkopierern besonders hoch im Kurs und der Zugriff auf DRM-Schlüssel für eine Streaming-App ist für Cyberkriminelle so wertvoll und lukrativ wie das Entdecken einer versteckten Goldmine.

So schützt man smarte TVs richtig

Auch wenn hybride Applikationen von Haus aus risikoreicher sind als herkömmliche Anwendungen können Entwickler mit den richtigen Sicherheitslösungen dennoch für ausreichenden Schutz vor Cybermanipulationen und Datendiebstahl sorgen. Der wohl wichtigste Sicherheitsansatz dürfte hier eine Kombination von Obfuscation, d.h. Verschleierungstechniken, mit Laufzeitschutztechniken sein. Verschleierung sorgt dafür, dass ein Softwareprogramm in einen Code umgewandelt wird, welcher schwer zu zerlegen und zu verstehen ist, jedoch die gleiche Funktionalität wie das Original bietet. Die Software bleibt so voll funktionsfähig, ist aber gleichzeitig extrem resistent gegen Reverse-Engineering.

Beim Laufzeitschutz geht es im Wesentlichen darum, ein selbstverteidigendes Anwendungsskript zu erstellen. Dank dem Einfügen von Manipulationsschutz in den Code ist die App ist in der Lage, selbst zu erkennen, ob sie sich im Originalzustand befindet oder manipuliert wurde, etwa durch das Bilden von Prüfsummen bei jedem Hochfahren. Auch kann die App auf diese Weise gefährliche Sandbox-Umgebungen von ungefährlichen Umgebungen, d.h. dem normalen Smart-TV, unterscheiden.

Indem sie sich auf den Schutz von JavaScript als Kernstück ihrer mobilen App konzentrieren, können Entwickler und Anbieter von Smart-TV-Apps auch weiterhin von den Vorteilen hybrider Anwendungen profitieren ohne unnötiges Risiko eingehen zu müssen, Opfer von Piraterie-Angriffen zu werden, oder ihre Kunden der Gefahr des Datendiebstahls auszusetzen.