Mit dem Web verbundene Home-Entertainment-Systeme offenbaren zahlreiche Sicherheitsrisiken. Der Sicherheitsexperte David Jacoby von Kaspersky Lab testete zwei NAS-Speicher-Systeme (Network Attached Storage) verschiedener Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker in seinem eigenen Wohnzimmer. Das Ergebnis: Neben Schwachstellen in der Software und fehlenden Sicherheitsvorkehrungen bereiteten unsichere Passwörter und unverschlüsselte Kommunikation Probleme. Die gefährlichsten Sicherheitslücken fand der Sicherheitsexperte bei den NAS-Speichern. Potenzielle Angreifer können demnach aus der Ferne das System kompromittieren und eigenen Code mit Administratorenrechten ausführen. Zudem waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert. Das voreingestellte Administratorpasswort eines Geräts enthielt nur eine einzige Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen.
Bei der Analyse seines Smart-TV konnte der Kaspersky-Experte feststellen, dass dieser unverschlüsselt über das Internet mit den Servern des Geräte-Herstellers kommuniziert. Das öffnet die Tür für potenzielle Man-in-the-middle-Attacken. Dabei schaltet sich ein Angreifer zwischen Smart-TV und Hersteller. Nutzen Anwender ihr Gerät für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Der DSL-Router hatte zahlreiche, für den Nutzer versteckte Features. Einige davon geben dem Internet Service Provider (ISP) Zugriff auf jedes Gerät im Heimnetzwerk. Jacoby fand in der Internetschnittstelle seines Router Funktionen wie „Web Cameras“, „Telephony Expert Configure“, „Access Control“, „WAN-Sensing“ und „Update“. Ursprünglich wurden solche Features von den ISPs eingebaut, um möglichst einfach technische Probleme auf Anwenderseite lösen zu können. Tatsächlich sind sie aber enorme Sicherheitsrisiken. Die Internetschnittstelle besteht nur aus Webseiten mit alphanumerischen Adressen. Mit Hilfe einer universellen Schwachstelle könnten Angreifer über eine einfache Manipulation der Nummern am Ende der Adresse zwischen den Funktionen hin und her wechseln. „Sowohl Nutzer als auch Hersteller sollten die Sicherheitsrisiken kennen, wenn Geräte mit dem Internet verbunden sind“, so das Fazit von Jacoby.
