Android TV: Schwerer Fehler machte Nutzerdaten über Google Fotos öffentlich zugänglich
Android TV ist Googles Betriebssystem für Fernseher und andere Geräte wie etwa die Nvidia Shield Android TV, welche wohl das bekannteste Gerät mit dem OS sein dürfte. Aber auch auf Fernsehern von Beispielsweise Sony kommt die Plattform zum Einsatz. Nun hat ein Nutzer einen erheblichen Bug gefunden, der die kombinierte Verwendung von Android TV, Google Fotos und Google Home betrifft. So war es dem Anwender möglich, ohne viel Gefummel Daten anderer Nutzer einzusehen.
So staunte der Twitter-User prashanth nicht schlecht, als er über seine App für Google Home unter verknüpften Konten nicht nur sein eigenes, sondern Hunderte anderer Nutzerkonten erblickte – wohl jeder, der den gleichen Fernseher wie er besitzt. Er konnte damit nicht nur die Namen anderer Nutzer deutlich einsehen, sondern auch einstellen, dass ihre Inhalte aus Google Fotos im Ambient Mode Teil seines Bildschirmschoners werden. Das ist natürlich schon eine harte Sache.
Oh my god. Private @googlephotos of strangers are being shown to me in the ambient mode screensaver.
SERIOUSLY WHAT THE FUCK?! @Google @GoogleIndia pic.twitter.com/VbMmb3B2Qp
— prashanth (@wothadei) March 3, 2019
Bei XDA-Developers relativiert man aber ein wenig und bezweifelt, dass die Bilder anderer User am Ende tatsächlich über den Screensaver angezeigt wurden. Allerdings ist schlimm genug, dass andere Usernames einfach so einsehbar gewesen sind. Zum Einsatz kam in diesem Fall übrigens ein Fernseher von Vu, der noch Android TV 7 nutzt und seit 2017 keine Sicherheits-Patches mehr erhalten hat. Offenbar waren aber auch andere Geräte in Kombination mit der Home-App betroffen.
Google hat mittlerweile auch zu der Misere Stellung bezogen: Man nehme die Privatsphäre der Nutzer sehr ernst und habe nun zunächst die Möglichkeit deaktiviert über den Google Assistant Fotos von Google Fotos an Geräte mit Android TV weiterzureichen. Man gehe dem Fehler nun auf den Grund, bevor man jene Option wieder aktiviere. Man darf also auf die Ergebnisse gespannt sein.
Hat vielleicht jemand von euch diesen Bug bereits in der Vergangenheit bemerkt? Solltet ihr Android TV und Google Fotos bzw. die Home-App nutzen, ist jedenfalls nicht auszuschließen, dass auch euer Benutzername und eventuell eure Bilder für andere User sichtbar gewesen sind.
Genau wegen solcher Szenarien verzichte ich auf alle Extras beim Kauf eines TV und nutze unterschiedliche kleine Kästchen von denen der TV sein Material bekommt.
Da der Bildschirm alleine länger nutzbar ist, wenn man SAT-Receiver und Streaminghardware separat kauft, kann man diese Komponenten auch einzeln upgraden.
Wir haben zum Glück auch noch ein „alten“ TV, haben selber sat, Google TV, Amazon, dahinter versteckt, Dank Logitech Fernbedienung ist das dann alles wie aus einem Guss.
Die interessante Frage ist, ob nur Sony betroffen ist, ich habe auf dem Nexus Player keine Foto App installiert, und Google nur als Alexa Skill, hoffe ich bin nicht betroffen, da Google ja den Support für mein Gerät eingestellt hat 🙂
Ob man den Bildschirm wirklich länger nutzt, kann recht unterschiedlich sein. Ich kaufe nur selten einen neuen TV, aber dennoch vermutlich öfter als externe Zuspieler wie z.B. einen Satreceiver.
Generell kann so etwas wie hier geschildert aber natürlich auch mit anderen Geräten passieren und ist nicht nur auf Fernseher beschränkt.
Streaming Hardware ist aber billiger als ein neuer Fernseher!
Ich kann mir durchaus vorstellen, dass es hier eine Sicherheitslücke gegeben hat und es dürfte nicht die einzige sein. Ich sehe tagtäglich Geräte, die veraltete Software haben und wahrscheinlich schützt uns in vielen Fällen schlicht die Masse der Geräte, weil eben nicht alles aufgemacht werden kann.
Ich habe meine persönliche Nutzung von Clouds und damit verbundenen Diensten soweit es geht reduziert. Ich nutze OneDrive nicht mehr, kein Google Fotos, kein Cloud Office und nicht mehr jeden Onlinedienst, der mir die Arbeit erleichtert, seien es Notizen, Aufgaben oder was auch immer. Einzig von meinem Gmail Account komme ich nicht so leicht weg. Da hängt zu viel dran.
Meine Einsicht kam mit verschiedenste Meldungen, in denen Nutzerdatenbanken geleaked wurden, Passwörter einsehbar waren, schlecht gewartete Hardware mit Sicherheitslücken geöffnet wurde und nicht zuletzt Magenschmerzen verursachenden Meldungen über Facebook und Co, die sich einen Dreck um persönliche Daten scheren, sondern alles monetarisieren, was ihnen in die Finger kommt.
Ist das naiv? Nun ja, ganz ohne Cloud komme auch ich nicht aus. Der Google Account ist einfach zu praktisch. Aber vieles lässt sich ersetzen. Die eigene Cloud mit einem NAS, Kontakte und Kalender per WebDAV, ebenso den Passwortmanager. Viel Verkehr leite ich über meinen PiHole zu Hause, der eben nicht nur Werbung filtert, sondern auch Tracker und Schadsoftware. Chrome muss nicht mehr sein, der Firefox rennt auch ordentlich.
Man muss nur wollen. Dauerte mit meiner Einsicht aber auch Jahre. Trotzdem ist Cloud schon ein geiles Prinzip. Doch aktuell habe ich einfach zu wenig Vertrauen in so viele Dienste. Da nehme ich eine kleine Auszeit.