Google TV: Sicherheitslücke ermöglichte GMail-Zugriff per Chrome-Browser – Login ohne Passwort (Video)

Veröffentlicht am 26. April 2024 von Jens

Auf Googles Smart TV-Plattform Google TV dreht sich alles um das Streaming von Filmen, Serien und anderen Inhalten, während die Nutzung von themenfremden Apps eher eine kleinere Rolle spielt. Das vielleicht aus gutem Grund, denn jetzt ist eine Sicherheitslücke bekannt geworden, bei der es fast schon überraschend ist, dass das nicht schon sehr viel früher als potenzielles Risiko aufgefallen ist.

Auch wenn Google TV bzw. Android TV rein theoretisch viele Android-Apps ausführen könnte, kommen hauptsächlich die großen Streamingplattformen zum Einsatz, während die Apps fast schon versteckt werden. Auch der Chrome-Browser gehört zu den praktischen Apps, die standardmäßig aber nicht für die Smart TV-Plattform verfügbar sind. Per Sideloading lässt sich der Chrome-Browser aber dennoch installieren und vollständig nutzen – und genau das hat sich jetzt als Sicherheitsrisiko erwiesen.

Denn wie im unten eingebundenen Video gezeigt wird, ist der Chrome-Browser auch unter Google TV so eng mit dem Betriebssystem verzahnt, das kein Login in das Google-Konto notwendig ist. Stattdessen wird der aktive Login des Betriebssystems verwendet. Das bedeutet, wie im Video zu sehen, dass nach der Installation des Chrome-Browsers das Tor zur Google-Welt offensteht. Es ist zu sehen, wie der Chrome-Browser von einer vermeintlich fremden Person installiert und anschließend GMail zum Abruf von E-Mails geöffnet wird.

Somit gibt es das Szenario, dass eine fremde Person die Möglichkeit hat, auf das Google-Konto des angemeldeten Nutzers zuzugreifen, ohne in irgendeiner Form das Passwort zu kennen, 2FA auszuhebeln oder Ähnliches. Das betrifft nicht nur GMail, aber die Mailplattform ist die „beste“ Anlaufstelle, um sich weiteren Zugang zu anderen Diensten zu verschaffen – dank zahlreicher Passwort-Rücksetzen-Funktionen.

Google hat dieses Szenario bestätigt und es nach eigenen Angaben auf aktuellen Versionen von Google TV bereits behoben. Man nennt keine Details zum Fix, aber es ist aufgefallen, dass sich der Chrome-Browser nicht mehr per Sideload installieren lässt. Das ist zwar eine effektive Lösung, aber packt das grundsätzliche Problem noch nicht an der Wurzel. Vermutlich ist es eine Notlösung, bis man den Chrome-Browser darauf trainiert hat, beim ersten Login das Passwort abzufragen oder zumindest eine 2FA-Bestätigung abzurufen.

Natürlich ist das eine gefährliche Lücke, aber man muss auch bedenken, dass das Szenario nicht ganz realistisch ist. Denn wie wahrscheinlich ist es, dass eine fremde („gefährliche“) Person für lange Zeit unbemerkt am heimischen Smart TV hantieren kann, ohne dass es der Besitzer bemerkt. Da muss schon ein langer physischer Zugriff gegeben sein und wenn man eine solche Person im eigenen Wohnzimmer hat, ist vielleicht nicht nur das GMail-Postfach unsicher 😉

» Google Chromecast 4K: Neuer Dongle kommt in Kürze – Leak verrät erste Infos + magische Fernbedienung

[9to5Google]

Produkt	Preis
Chromecast mit Google TV (HD) Schnee – Streame Unterhaltung per Fernbedienung mit Spracherkennung...	39,99 EUR	Bei Amazon kaufen
Chromecast mit Google TV (4K) Schnee - Bringt Unterhaltung per Sprachsuche auf deinen TV. Streame...	69,99 EUR 64,00 EUR	Bei Amazon kaufen
Amazon Fire TV Stick 4K, Streaming in brillanter 4K-Qualität, Steuerungsoptionen für den Fernseher...		Bei Amazon kaufen
Amazon Fire TV Stick Lite mit Alexa-Sprachfernbedienung Lite (ohne TV-Steuerungstasten) \|...	34,99 EUR	Bei Amazon kaufen
Amazon Fire TV-2-Serie HD-Smart-TV mit 32 Zoll (81 cm), 720p	279,99 EUR 199,99 EUR	Bei Amazon kaufen