Wenn wir fernsehen, dann schauen unsere Fernseher uns zu. Das ergab eine Arbeit der Princeton Universtät in New Jersey. Inwiefern das in Deutschland praktiziert wird geht aus dem Papier nicht hervor, aber natürlich ist die Ära der Smart-Geräte ausschlaggebend für diese Studie.
Besonders betroffen sind die On-Demand Angebote im Internet wie Amazon Fire TV oder Roku. Es werden ähnliche Praktiken von Samsung, Vizio und Apple TV vermutet, diese wurden aufgrund des Aufwandes vorerst ausgelassen.
Besonders im Fall Roku gab es extrem auffällige Werbe- und Trackingmethoden:
Auf nahezu allen Kanälen von Roku befindet sich nachweisbarer HTTP-Traffic. Eine Methode Rokus Tracking abzuschalten existiert zwar innerhalb des Roku-Programmes, sorgt aber nur dafür, dass Werbung von Roku selbst abgeschaltet, dafür von Drittanbietern zugeschaltet wurde.
Es gibt einige Kanäle mit über 50 Trackern. Dabei war die Mehrheit der Tracker dazu in der Lage die ID und MAC-Adresse des Fernsehgerätes abzugreifen. Einige wenige Kanäle waren so unsicher, dass Mail-Adressen von Zuschauern zusammen mit dem letzten Sendeverlauf geleaked worden waren. Komplett unverschlüsselt.
Die Methode war ein wenig zeitintensiv. So wurde selbst ein Bot geschrieben, welcher sich bei Amazon Fire TV oder Roku einloggte, eine Sendung startete und auf Werbung wartete, bis einer der Werbeserver diese sendete. Sogar Programme wie Pi-Hole waren hier nur limitiert hilfreich.
Eine weitere Arbeit der Universität Northeastern Massachusetts behandelte vor allem IoT-Geräte für Endverbraucher, darunter fünf Smart-TVs. Während die Methoden zwischen der Princeton U und Northeastern U weitläufig unterschiedlich waren, konnten die Mitarbeiter der Universität Northeastern zwar kein Tracking durch Zuhören nachweisen, aber vor allem bei Smart Home Geräten wie die „Ring oder Zmodo Doorbell“, aber auch beim Alexa Sprachassistenten. Ring startete ungefragt eine Videoaufnahme, sobald jemand x-beliebiges vor dem Gerät lief. Zmodo ludt Bilder hoch, ebenfalls wenn jemand vor dem Gerät lief und dabei ist dieses Feature bei den Modellen nicht mal im Ansatz dokumentiert oder dem Kunden bekannt gemacht worden.
Amazons Alexa hingegen sticht besonders heraus: Um Alexa nutzen, spricht man einfach „Alexa [do this]“ aus. Aber Alexa hört zufällig auch bei privaten Gesprächen mit. Besonders bei Worten mit S-Laut. „Ich mag Star Trek“ ist genug, damit Alexa zuhört.
Um nochmal zu den Fernsehern zu kommen: Zwar konnte nicht nachgewiesen werden, dass die Fernseher „nach Hause telefonieren“, jedoch haben einige Geräte versucht die Netflix-Server zu kontaktieren, ohne vorher Zugangsdaten für Netflix, geschweige denn die einer Internetverbindung zu bekommen. Was die sonstigen Geräte betrifft, war einiges auch absehbar. Besonders IoT-Geräte aus China kontaktieren Server in China, Geräte aus Südkorea, die in Südkorea oder eben Amerika. Je nachdem wo sie gehandelt werden.
Ein drittes Papier, dieses Mal wieder von Mitarbeitern der Princeton Universität beschäftigte sich mit der Entwicklung eines Tools, was die Erfassung des Traffics der eigenen Smart Home-Geräte ermöglichen soll.
Von Smart-TVs bis Kaffeevollautomaten gab es immer wieder ungewöhnlichen Traffic. So sendete der Kaffeeautomat einer Mitarbeiterin der Princeton U ungefragt Daten zu Microsoft und ihr Amazon Echo Dot versuchte eine Verbindung zu 17 verschiedenen Servern aufzunehmen, ohne in Verwendung zu sein.
Was die Papiere hervorbrachten lässt einen bitteren Nachgeschmack:
Zwar ist die Entwicklung komfortabel, aber zum Preis der permanenten Überwachung sollte man diverse Maßnahmen ergreifen, um ungewollten Traffic zu vermeiden.
[spoiler title=’Quellen‘ style=’default‘ collapse_link=’true‘]
„Arvind Narayanan auf Twitter“
https://twitter.com/random_walter
https://twitter.com/random_walker/status/1177570679232876544
„Watching you watch“ Princeton Universität
https://tv-watches-you.princeton.edu/tv-tracking-acm-ccs19.pdf
„Information Exposure From Consumer IoT Devices“ Northeastern Universität Massachusetts
https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf
„IoT Inspector: Crowdsourcing Labeled Network Traffic from Smart Home Devices at Scale“ Princeton Universität
https://arxiv.org/pdf/1909.09848.pdf
„Princeton IoT Inspector“
https://iot-inspector.princeton.edu
Bild und Bildrechte:
https://pixabay.com
[/spoiler]
„Wenn Fernseher uns zusehen“ – 516 Wörter, eine Arbeit von Arvind Narayanan, übersetzt und zusammengefasst von Lukas „Haituga“ Arndt