Android TV & Google Photos: Bug verknüpft alle Nutzer des gleichen TV & zeigt Fotos wildfremder Menschen

Veröffentlicht am 4. März 2019 von Jens

Google hat gerade erst eine schwere Sicherheitslücke in Mac OS entdeckt, ist nun aber wieder selbst von einem Bug betroffen, der noch deutlich weiter geht. Durch eine offenbar nicht ganz so optimale Verknüpfung zwischen Android TV, Google Home und auch Google Photos war es möglich, die privaten Fotos anderer Nutzer direkt auf dem Fernseher anzusehen. Google hat schnell reagiert und die Funktion erst einmal zurückgezogen.

Die Google Home-App ist mittlerweile eine mächtige Smart Home-Zentrale und kann immer mehr Geräte steuern bzw. sich mit diesen verbinden. Das funktioniert normalerweise auch sehr gut und gerade in puncto Smart Home sollte die Sicherheit und der Datenschutz an erster Stelle stehen – was aktuell aber zumindest bei Google leichte Kratzer bekommen hat, aufgrund des verschwiegenen Mikrofons im Nest Alarmsystem.

Da hat der Nutzer nicht schlecht gestaunt: Der Twitter-Nutzer wothadei hat über die Google Home-App auf dem Smartphone auf seinen neuen Smart TV der Marke „Vu“ zugegriffen und konnte sich mit dem darauf installierten Android TV 7 verbinden. Doch ein Blick auf den Bereich „Linked Accounts“, der normalerweise nur die Familienmitglieder enthalten sollte, gab dann eine Überraschung preis: Die Liste war endlos lang und enthielt unzählige unbekannte Nutzer, die (vermutlich) den gleichen Fernseher besitzen.

When I access my Vu Android TV through the @Google Home app, and check the linked accounts, it basically lists what I imagine is every single person who owns this television. This is shocking incompetence. pic.twitter.com/5DGwrArsco

— prashanth (@wothadei) March 3, 2019

Irgendwie scheinen alle Accounts also rein nur über den Fernseher miteinander verknüpft zu sein – was natürlich kein gewolltes Verhalten ist. Es gibt zwar noch keine Erklärung dafür, aber vermutlich gibt es bei dem Fernsehermodell ein Problem mit der Seriennummer, das dafür sorgt, dass alle Geräte als das jeweils selbe Gerät erkannt werden.

Aber dabei hört es nicht auf, denn wenn die Konten schon einmal verbunden waren, konnte er auch in der Google Photos-Slideshow alle Fotos der verbundenen Accounts aktivieren. Und so wurden dann Fotos von wildfremden Menschen auf dem Fernseher angezeigt – und spätestens an dieser Stelle wird aus dem Bug ein Riesenproblem, vor allem auch aus Datenschutzsicht.

Oh my god. Private @googlephotos of strangers are being shown to me in the ambient mode screensaver.

SERIOUSLY WHAT THE FUCK?! @Google @GoogleIndia pic.twitter.com/VbMmb3B2Qp

— prashanth (@wothadei) March 3, 2019

Google kann sich den Vorfall derzeit selbst noch nicht erklären und hat vorsorglich erst einmal die Fotos-Funktion entfernt und folgendes Statement abgegeben:

We take our users’ privacy extremely seriously. While we investigate this bug, we have disabled the ability to remotely cast via the Google Assistant or view photos from Google Photos on Android TV devices.

Siehe auch
» Project Zero: Google-Forscher entdecken ‚dringende‘ Sicherheitslücke in Apples Betriebssystem Mac OS

[XDA Developers]

Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter