Test: Kan din smart-tv hackas?

Om din smart-tv kopplas upp mot internet finns det sätt för hackare att ta sig in i den. Men det finns också sätt att skydda sitt hemnätverk från ovälkomna besök. Vi har testat säkerheten i en vanlig smart-tv och ger här våra bästa tips.

Risker med smart-tv:n

  •  Mjukvaran slutar uppdateras
    I början uppdateras en uppkopplad smart-tv per automatik, men många tillverkare slutar ganska snart att skicka uppdateringar. Nyupptäckta säkerhetsrisker åtgärdas då inte längre, vilket kan bana väg för hackare att installera mjukvara på tv:n och ta kontroll över användandet.
  • Tv:n kan användas i hackerattacker
    Om en hackare lyckas ladda ner skadlig programvara på din tv, kan den användas som en nätverkspunkt att skicka andra hackerattacker i från. Eftersom det inte nödvändigtvis påverkar användandet av tv:n kan det vara svårt för dig som ägare att upptäcka.

Så gick testet till

Länsförsäkringar har i samarbete med forskningsinstitutet RISE gjort ett test av en smart-tv som visar att uppdateringsprocessen är den svaga länken. Hackare kan utge sig för att vara tv-tillverkare och skicka något som ser ut att vara en uppdatering till din tv.

I själva verket rör det sig om skadlig programvara. Om hackaren lyckas kan din smart-tv användas för att övervaka hemnätverket eller fungera som bas för andra hackerattacker.

Risker och problem

I början uppdateras en uppkopplad smart-tv per automatik, men många tillverkare slutar ganska snart att skicka uppdateringar. Det kan vara sårbarheter som är unika för själva produkten, men det kan också vara mer generella svagheter i till exempel det operativsystem eller kommunikationsprotokoll som används. Eftersom utvecklingen av uppkopplade enheter går fort framåt är det många tillverkare som lämnar utvecklingen av tidigare produkter ganska kort efter att de har lanserats. I fallet som vi har tittat på lanserades tv-modellen 2014 och den sista uppdateringen kom 2018, alltså bara 4 år senare. Det här kan vara ett stort problem om det handlar om produkter som köparen förväntas använda under en längre tid.

Vid automatisk uppdatering skickas den senaste mjukvaran i form av en krypterad fil. Krypteringsnyckeln till den här filen har läckt ut och finns tillgänglig online, vilket gör det lätt för den som vill att titta på vad mjukvaran innehåller och skapa en egen version fast med skadligt innehåll. I testet hittade vi ytterligare krypteringsnycklar i själva mjukvaran men vi har inte lyckats bekräfta när och hur de används.  

Mjukvaruuppdatering

Det största problemet med den testade modellen är hanteringen av mjukvaruuppdateringar. Tv:n skickar regelbundet (eller på användarens kommando) förfrågningar till en specifik URL för att se om det finns någon uppdatering tillgänglig. Denna förfrågning görs genom ett äldre protokoll, som kallas HTTP och inte den nyare formen HTTPS, vilket medför att tv:n inte kan verifiera identiteten av servern som svarar på förfrågan.

HTTPS

Förutom att erbjuda kryptering mellan server och klient ger HTTPS möjligheten att verifiera identiteten hos en server. Det sker genom att servern skickar ett certifikat som har signerats av en tredje part som både klienten och servern litar på. Klienten kan på så sätt verifiera att servern faktiskt är den som den utger sig för att vara.

DNS-spoofing

DNS används för att översätta ett domännamn i form av en inskriven webbadress till en sifferbaserad IP-adress. Genom att använda sig av DNS-spoofing är det möjligt att lura användare genom att göra den här översättningen så att ett visst domännamn ger en annan IP-adress. I vårt fall kan vi lura smart-tv:n att fråga efter uppdateringar hos en server som vi kontrollerar i stället för den som tillverkaren driver. Om kommunikationen sker över HTTPS kan den här typen av attack upptäckas av användaren, (i det här fallet smart-tv:n), genom det certifikat som servern skickar för att upprätta anslutningen. Ett sådant certifikat saknas för HTTP vilket gör att den kontrollen uteblir.

Uppdateringsprocessen

När tv:n frågar efter tillgängliga uppdateringar får den ett svar som säger om det finns en uppdatering och en länk som visar var den kan laddas ner. Om man kontrollerar servern som tv:n kommunicerar med, är det möjligt att svara med en länk till en modifierad mjukvara som kan användas för att ta kontroll över tv:n. Nedladdningen av själva mjukvaran till den här modellen sker över HTTP, det gör det möjligt att använda samma DNS-spoofing-teknik till att både besvara frågan om ny mjukvara och själva nedladdningen av den.

Det här kan du själv göra för att minska riskerna:

  • Kontakta tillverkaren
    Kontakta kundservice hos tillverkaren för att få reda på om produkten fortfarande får nya uppdateringar. Om tillverkaren har slutat utveckla uppdateringar till produkten finns en risk att nya säkerhetsbrister som upptäcks inte åtgärdas. Du bör då överväga att koppla bort smart-tv:n från nätverket.
  • Använd gästnätverket
    Ett enkelt sätt att minska konsekvensen av intrång är att koppla tv:n till hemmets gästnätverk. Det betyder att även om hackare kapar en av dina enheter, så är de fast i gästnätverket och få inte tillgång till hela ditt hemmanätverk.
  • Koppla ner tv:n
    När det inte längre går att säkerhetsuppdatera din smart-tv, fundera på om den verkligen måste vara uppkopplad till hemnätverket överhuvudtaget.