Google TV: Sicherheitslücke ermöglichte GMail-Zugriff per Chrome-Browser – Login ohne Passwort (Video)
Auf Googles Smart TV-Plattform Google TV dreht sich alles um das Streaming von Filmen, Serien und anderen Inhalten, während die Nutzung von themenfremden Apps eher eine kleinere Rolle spielt. Das vielleicht aus gutem Grund, denn jetzt ist eine Sicherheitslücke bekannt geworden, bei der es fast schon überraschend ist, dass das nicht schon sehr viel früher als potenzielles Risiko aufgefallen ist.
Auch wenn Google TV bzw. Android TV rein theoretisch viele Android-Apps ausführen könnte, kommen hauptsächlich die großen Streamingplattformen zum Einsatz, während die Apps fast schon versteckt werden. Auch der Chrome-Browser gehört zu den praktischen Apps, die standardmäßig aber nicht für die Smart TV-Plattform verfügbar sind. Per Sideloading lässt sich der Chrome-Browser aber dennoch installieren und vollständig nutzen – und genau das hat sich jetzt als Sicherheitsrisiko erwiesen.
Denn wie im unten eingebundenen Video gezeigt wird, ist der Chrome-Browser auch unter Google TV so eng mit dem Betriebssystem verzahnt, das kein Login in das Google-Konto notwendig ist. Stattdessen wird der aktive Login des Betriebssystems verwendet. Das bedeutet, wie im Video zu sehen, dass nach der Installation des Chrome-Browsers das Tor zur Google-Welt offensteht. Es ist zu sehen, wie der Chrome-Browser von einer vermeintlich fremden Person installiert und anschließend GMail zum Abruf von E-Mails geöffnet wird.
Somit gibt es das Szenario, dass eine fremde Person die Möglichkeit hat, auf das Google-Konto des angemeldeten Nutzers zuzugreifen, ohne in irgendeiner Form das Passwort zu kennen, 2FA auszuhebeln oder Ähnliches. Das betrifft nicht nur GMail, aber die Mailplattform ist die „beste“ Anlaufstelle, um sich weiteren Zugang zu anderen Diensten zu verschaffen – dank zahlreicher Passwort-Rücksetzen-Funktionen.
Google hat dieses Szenario bestätigt und es nach eigenen Angaben auf aktuellen Versionen von Google TV bereits behoben. Man nennt keine Details zum Fix, aber es ist aufgefallen, dass sich der Chrome-Browser nicht mehr per Sideload installieren lässt. Das ist zwar eine effektive Lösung, aber packt das grundsätzliche Problem noch nicht an der Wurzel. Vermutlich ist es eine Notlösung, bis man den Chrome-Browser darauf trainiert hat, beim ersten Login das Passwort abzufragen oder zumindest eine 2FA-Bestätigung abzurufen.
Natürlich ist das eine gefährliche Lücke, aber man muss auch bedenken, dass das Szenario nicht ganz realistisch ist. Denn wie wahrscheinlich ist es, dass eine fremde („gefährliche“) Person für lange Zeit unbemerkt am heimischen Smart TV hantieren kann, ohne dass es der Besitzer bemerkt. Da muss schon ein langer physischer Zugriff gegeben sein und wenn man eine solche Person im eigenen Wohnzimmer hat, ist vielleicht nicht nur das GMail-Postfach unsicher 😉
» Google Chromecast 4K: Neuer Dongle kommt in Kürze – Leak verrät erste Infos + magische Fernbedienung
Letzte Aktualisierung am 2024-12-29 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter