Irgend jemand scheint ein Tool entwickelt und veröffentlicht zu haben, um Android-Geräte automatisiert per ADB anzugreifen. Könnte also in Zukunft zu vermehrten Vorfällen bei mit Android laufenden Smart TVs und Werbetafeln kommen.
Anzeige
ADB steht für Android Debug Bridge, eine Schnittstelle, über die man Android-Geräte ansprechen kann. Normalerweise ist ein ADB-Zugriff nur nach Nutzerfreigabe am Android-Gerät möglich. Bei manchen Geräten ist der Zugriff aber aktiviert, so dass das ausgenutzt werden könnte. Details sind mir momentan keine bekannt. Catalin Cimpanu hat die Information zum Tool lediglich auf Twitter gepostet.
Someone decided it was a good idea to release an automated tool for pwning Android devices via ADB.
This is not going to end well.
I have a funny feeling that lots of advertising displays and smart TVs will load PornHub videos in the coming months. pic.twitter.com/usNmZHEXkN
— Catalin Cimpanu (@campuscodi) 1. Juni 2019
Anzeige
Beim ersten Koppeln von ADB musste ich über den Bildschirm meines S4 das Zertifikat des ADB client auf dem PC bestätigen. Ich denke nicht das man damit ein Telefon hacken kann. Wie das bei TVs ist, und ob die einfach jedes Zertifikat eines auf sie zugreifenden Computers akzeptieren weiß ich nicht.
Die Abfrage sieht sonst so aus: https://i.stack.imgur.com/SGyn3.jpg
Kenne ich auch so, es muss explizit freigegeben werden, und es wird sogar ein Fingerabdruck des Gerätezertifikas gespeichert. Aber ich habe in Erinnerung, dass, als ich noch TV-Boxen auf Android-Basis getestet habe, es dort nicht so war. Displays für Werbeanzeigen auf Basis Android sind nicht so meine Welt. Aber das Zeugs hängt am Internet – und Adb geht auch per Wi-Fi.
Danke Günni, deine Beobachtungen am TV sprechen auch dafür das Süd Korea am meisten betroffen ist von der Lücke:
https://twitter.com/pcolomes/status/1134973446981660672
Ich denke an TVs von LG und Samsung, also deren Heimatland.
Kann man so etwas in einer Fritzbox sperren?
Wenn man weiter auf Mediatheken zugreifen will, ohne sich einem Risiko auszusetzen?
Unsere Samsung-Fernseher sind schon sehr alt. Bloss wegen neuer Software kaufen wir keinen neuen. Das wäre für uns zuviel Wegwerfgesellschaft.
Du könntest zunächst erst einmal upnp in der Fritzbox abschalten, damit der Fernseher nicht von sich aus Ports für die eingehende Kommunikation an sich selbst einrichten kann. Da laut Günter so ein Zugriff aber auch per WLAN möglich ist, bleibt dann nur, das Kennwort für den WLAN-Zugriff so zu setzen, dass es den gängigen Sicherheitsanforderungen entspricht und zusätzlich einzustellen, dass keine neuen WLAN-Geräte zugelassen werden.