Wenn dein Fernseher dir zuschaut - Was uns LG's SmartAd Programm beibringt

Wenn dein Fernseher dir zuschaut

Was uns LG's SmartAd Programm beibringt

Dominik Bärlocher
von Dominik Bärlocher
Lesezeit: 10 Minuten

Es ist wieder passiert. Jemand stiehlt unsere Daten ohne dass wir es wissen. Diesmal ist es aber nicht die NSA oder eine anderer international agierender Geheimdienst mit seinen Spionen. Diesmal sind es unsere Fernsehgeräte, die aufzeichnen, was wir uns wann anschauen. Die hat Blogspot-User DoctorBeet entdeckt (Technische Details in unserer VulDB).

Die Situation

Der englische Blogger hat Folgendes entdeckt: Dein LG Smart TV sieht dir beim Fernsehen zu, schickt alle Daten – eine Unique ID deines Fernsehers, den Kanal, von dem du gerade weggezappt bist sowie den Kanal zu dem du gezappt bist, die Dateinamen der Files auf einem angeschlossenen USB-Key – an einen Server, auf dem die Informationen analysiert werden, damit bessere Werbung gemacht werden kann.

LG schaut dir beim Fernsehen zu

Doch es wird noch schlimmer. Alle diese Informationen werden im Klartext verschickt. Das bedeutet nichts anderes als dass jeder, der jemals gelernt hat, wie der Traffic eines Routers angesehen werden kann, weiss, was du dir angesehen hast. Sie können sehen, dass du dir das Video deiner Familie beim Picknick am vergangenen Wochenende angeschaut hast und dir danach einen Schwarzenegger-Film reingezogen hast. Auch wissen sie, dass du keine Lust auf Werbeunterbrechungen hattest, denn du hast da den Kanal gewechselt um dir einen Fetzen Nachrichten anzusehen. Auch wissen sie, wann deine Kinder von der Schule heimkommen, denn auf einmal wechselst du den Kanal von einer doofen Dating-Show zu Cartoons. Findest du das nicht auch leicht unheimlich?

Doch es wird noch schlimmer. Da ist dieses extrem unheimliche Werbevideo, das Werbung für LGs Werbung macht. Da wird es wirklich abscheulich, denn das Video ist nicht an dich, den Endbenutzer, gerichtet. Das Video ist an die Werbeindustrie gerichtet und zeigt dir, dem Endbenutzer, recht deutlich, was der Konzern, der unter dem Slogan Life’s Good arbeitet, wirklich von dir denkt.

In einer ruhigen, sanften Stimme erklärt LGs Stimme, dass die Endbenutzer nicht nur Werbe-Einblendungen erhalten, die ihnen wirklich gefallen, sondern erklärt den Werbern auch noch, was sie erhalten: Detaillierte Auswertungen des Verhaltens ihrer Kunden. Im Grunde genommen heisst das: Dein Fernseher schaut dir beim Fernsehen und beim Werbung-Schauen zu. Das Video unterhält nicht einmal die Möglichkeit, dass das Ausspionieren allenfalls moralische Probleme mit sich bringen könnte. Auch wird die Tatsache, dass du deinen Fernseher bereits gekauft hast und dass er dein Eigentum ist und du somit über das Gerät bestimmen kannst, unter den Tisch gekehrt. Du bist Werbekapital. Und nur das. Oh, und habe ich erwähnt, dass der Fernseher weiterhin Daten an LG schickt, auch wenn du das im User Menu ausgeschaltet hast?

Das wirklich Heimtückische an dieser Situation ist dies: Du kannst einem solchen Programm nicht entkommen. Du kannst Facebook austricksen indem du entweder nicht auf “Like” klickst oder bewusst falsche Angaben machst. Du kannst einen falschen Namen benutzen, eine alternative Mail-Adresse und falsche persönliche Daten angeben. Dies funktioniert auch für so ziemlich jede Social Networking Site, die hinter deinen Daten her ist. Aber bei einem Fernseher hast du keine Chance. Ich weiss ja nicht, wie du das machst, aber ich schaue mir sicher nicht bewusst Sendungen an, die ich nicht gut finde nur damit ich LG’s SmartAd verwirren kann.

Die Untersuchung und die Folgen

DoctorBeet – im echten Leben heisst er nach eigenen Angaben Jason Huntley und ist unabhängiger Security Consultant aus dem englischen Hull – hat nach seiner Entdeckung weitere Untersuchungen durchgeführt. Er hat ein Mail an den englischen Hauptsitz des Herstellers geschrieben und eine Erklärung gefordert. LG hat ihn daraufhin informiert, dass er sich beim Kauf mit den allgemeinen Geschäftsbedingungen der Firma einverstanden erklärt hat und somit mit allem einverstanden ist, das der Fernseher tut, inklusive dem Sammeln seiner Daten. Huntley war nicht wirklich zufrieden und machte die Affäre im Internet publik.

Es folgte das Übliche. User waren wütend, die Medien nahmen sich der Geschichte an und die Firma sah für eine Weile nicht so gut aus. LG trat den Rückzug an. Das unheimliche Werbevideo verschwand und die Website, die SmartAd beworben hat ist im Moment undergoing maintenance.

Zudem hat LG seine Privacy Policy einem Update unterzogen. Einst stand da:

Information such as channel, TV platform, broadcast source, etc. that is collected by certain LG Smart TVs is not personal but viewing information. This information is collected as part of the Smart TV platform to deliver more relevant advertisements and to offer recommendations to viewers based on what other LG Smart TV owners are watching.

Jetzt heisst es:

LG does not, or has ever, engaged in targeted advertisement using information collected from LG Smart TV owners. Information such as channel, TV platform, broadcast source, etc. that is collected by certain LG Smart TVs is not personal but viewing information. This information is collected to offer recommendations to viewers based on what other LG Smart TV owners are watching.

Ausserdem hat LG ein Firmware-Update versprochen, das es den Usern erlaubt, das SmartAd-Feature auszuschalten. Und wenn es ausgeschaltet ist, dann soll es dann wirklich ausgeschaltet sein und keine Daten mehr versenden. Zyniker haben aber erwähnt, dass diese Änderungen – insbesondere jene in der Privacy Policy – nicht heisst, dass LG niemals vorhatte, deine Daten zu sammeln. Sie haben auch zu Bedenken zu geben, dass die Fehlermeldung, die Huntley von LGs Servern erhalten hat, allenfalls nicht so bedeutungslos ist. Huntley bekam einen Fehler 404.

Die Frage nach dem 404

Jason Huntley hat entdeckt, dass die Server – Ja, deine Daten gingen an mehr als nur einen Server – mit einem Fehler 404 geantwortet haben. Nachdem Huntley die News veröffentlicht hat, war keiner mehr gewillt, zu glauben, dass LG keine Daten sammelt. Ein Kommentar zu Huntleys Blog Post wies darauf hin, dass ein 404 nicht bedeutet, dass da kein Server ist. Es bedeutet lediglich, dass der Server nicht weiss, was er mit den empfangenen Daten anstellen soll.

Die Konsequenzen

Die ganze Affäre um LGs SmartAd zeichnet ein überaus hässliches Bild der jüngsten Generation der Fernseher. Und nicht nur von den sehr hübsch aussehenden Modellen von LG. In den Kommentaren zu Huntleys Post fragen sich User, ob andere Fernseher Ähnliches tun. Samsung zum Beispiel. Das scheint eine schlaue Überlegung zu sein, auch wenn die Tatsache, dass User zuerst in der Software ihres neuen Produkts herumschnüffeln müssen um sich ihrer Privatsphäre sicher zu sein, einer Beleidigung gleichkommt.

Jason Huntley hat einen Workaround für die LG-Modelle entwickelt, womit er sicherstellen kann, dass keine Daten an LGs Server geschickt werden. Es empfiehlt sich zwar, den Fernseher gar nicht ans Internet anzuschliessen, aber wenn, dann können folgende URLs in der Config des heimischen Routers geblockt werden.

LG blieb aber weiterhin unbeeindruckt, so weit das Auge der Öffentlichkeit sehen kann. Nebst dem Versuch, alle Spuren ihres SmartAd-Videos zu verwischen und dem Statement, dass sie nie ihre eigenen Kunden ausspioniert haben. Ein letztes Bisschen Ironie: Am 18. November, dem Tag an dem Huntley seine Entdeckungen publik gemacht hat, hat der amerikanische Twitter-Account LGs folgendes retweeted:

Oh, welch Ironie...

Doch die SmartAd-Affäre zeigt, dass es nicht nur die NSA ist, um die wir uns Sorgen machen müssen. Die Leute, die unsere Fernseher, Telefone und Computer herstellen sind genau so interessiert, unsere Leben so transparent wie möglich zu machen, wie die Geheimdienste. Denn, wer weiss, vielleicht gibt es da irgendwo die Chance, ein bisschen Geld mit unseren Daten zu machen. Daraus folgt die logische Schlussfolgerung, dass Endbenutzer den Verkäufern und den Angestellten der Verkaufsstellen auf den Zahn fühlen müssen. Und zwar so lange, bis sich die User sicher sein können, dass ihr gewünschtes Level an Privatsphäre erreicht ist.

Schau dich um, sie schauen dir vielleicht gerade zu.

Update vom 16. Dezember 2013: Der Blog Heise Security berichtet, dass das neue Update der Firmware die Überwachung seitens LG entfernt hat. Der Blog hat die Fernseher 42LN5758 und 47LA6208 getestet und dabei festgestellt, dass Dateinamen von Files auf einem USB-Laufwerk gar nie übermittelt werden und der Datenaustausch mit dem Ausschalten der Funktion im Menü deaktiviert wird. Die Daten werden auch nicht mehr unverschlüsselt übertragen.

Über den Autor

Dominik Bärlocher

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

Sie wollen Ihr Log und Monitoring auf das nächste Level bringen?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv