Verschillende beveiligingslekken in een slimme televisie van Samsung maakte het mogelijk dat aanvallers toegang tot de webcam, surfgeschiedenis, wachtwoorden en andere informatie konden krijgen. Onderzoekers Aaron Grattafiori en Josh Yavor van ISEC Partners ontdekten verschillende kwetsbaarheden waardoor toegang tot de gevoelige gegevens mogelijk was.

De lekken bevonden zich in zowel het besturingssysteem van de televisie als de apps en waren zowel lokaal als via het internet toegankelijk. De twee onderzoekers lieten tijdens de Black Hat conferentie zien hoe ze bijvoorbeeld de in de televisie ingebouwde webcam konden inschakelen en bedienen.

Browser
Een groot probleem is dat Samsung een browser op de Webkit-engine ontwikkelde, waardoor het platform voor allerlei exploits kwetsbaar is. Via DNS poisoning en drive-by download-aanvallen was het mogelijk om inloggegevens, surfgeschiedenis, cache, cookies en WiFi-wachtwoorden van gebruikers te stelen.

Naast directe aanvallen is het ook mogelijk om kwaadaardige apps aan de SmartTV appstore toe te voegen. De lekken werden begin dit jaar deels door Samsung gepatcht. Een aantal van de kwetsbaarheden hebben betrekking tot toegang tot de APIs (application program interfaces) en zullen in het 2014 model worden verholpen.

Updates
De SmartTVs ondersteunen remote OTA (over the air) firmware- en applicatie-updates. Een ernstig lek in de Skype-applicatie werd meteen door Samsung verholpen. De onderzoekers waarschuwen dat soortgelijke problemen waarschijnlijk bij nog veel meer consumentenproducten aanwezig zijn die op het internet kunnen worden aangesloten.

"Ingebedde apparaten worden steeds slimmer. En als ze slimmer worden, is er ook een veel groter aanvalsoppervlak", aldus Grattafiori tegenover de Security Ledger.