Sicherheitslücke bei WebTV

Missbrauch fremder User-Accounts möglich.

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Über die Feiertage wurde eine gefährliche Sicherheitslücke bei WebTV bekannt. WebTV ermöglicht Internet-Zugang via Settop-Box und Fernsehgerät. Mittels einiger Zeilen Code, der in Newsgroups und per Email zirkulierte, können Emails von fremden Accounts ohne Wissen des Inhabers verschickt werden. Darüberhinaus ist es sogar möglich, gespeicherte Emails des ahnungslosen Users zu empfangen.

Laut einem Bericht von Net4TV handelt es sich dabei nicht um "Hackercode" sondern um Code, der von WebTV selbst programmiert wurde und dann in die falschen Hände geriet. Bereits seit September 1999 wurde diese "Zusatzfunktion" in einer WebTV-Hacking-Newsgroup diskutiert. Der Email-Code kann in Webseiten oder Newsgroup-Postings eingebettet werden. Wenn ein Nutzer dann die entsprechende Seite öffnet, führt das dazu, dass im Hintergrund - ohne Wissen des Users - Emails von dessen Account ausgesandt werden. Das kann dazu missbraucht werden, Hassbotschaften oder unerwünschte Werbung (Spam) unter einem anderen Namen zu versenden. Der Nutzer, dessen Account missbraucht wurde, merkt das nur, wenn er seinen Sent-Mail-Ordner durchsucht. Darüberhinaus kann der Code aber auch dazu gebraucht werden, gespeicherte Emails eines Nutzers zu lesen. Der Lauscher kann zwar nicht direkt auf die Emails eines anderen zugreifen, aber den Code so abwandeln, dass der Inhalt von dessen Mailbox an die eigene Adresse weitergeleitet wird.

Angbelich wäre diese Möglichkeit zunächst nicht bösartig verwendet worden. User hätten den Code benutzt, um sich selbst Sende- und Empfangsbestätigungen zuzuschicken oder um zu sehen, wer ihre Webseiten besucht. Doch schließlich wurde die Möglichkeit genutzt, um die Beschwerdestelle von WebTV mit profanen Botschaften zu überschütten und andere User zu belästigen. WebTV wollte sich offenbar der Problematik zunächst nicht stellen, sondern bedrohte User, deren Accounts missbraucht wurden, mit der Sperre ihres Accounts wegen Spamming. Auch riet man Nutzern, bestimmte Diskussions-Newsgroups nicht mehr aufzusuchen, über die der Code in Umlauf gebracht wurde.

WebTV hat eine von vielen Problemen gekennzeichnete Geschichte in Sachen Sicherheit, angefangen vom Hack aller User-Accounts vor 18 Monaten, über die sogenannte "Amnesia Bomb", welche das Löschen aller gespeicherten Nachrichten einer Zielperson ermöglichte, bis hin zu dem Umstand, dass die Spam-Block-Funktion die Nutzer-Identität und -Nummer enthüllte. Im Herbst 1998 wurde bekannt, dass WebTV eine eigene Abteilung zur Auswertung des Nutzerverhaltens unterhielt. Die Settop-Box versandte nachts ohne Wissen des Users Emails an das Unternehmen mit Informationen darüber, welche Websites der User aufgesucht, welche Werbebanner er angeklickt und welche Fernsehprogramme er gesehen und aufgezeichnet hatte. Trotz weitverbreiteter Kritik dauerte es ein Jahr, bis ein Browser-Update diese Überwachungsfunktion verunmöglichte.

Kritisiert wurde auch, dass das Unternehmen meist ausgesprochen lange braucht, Fehler zu beheben. In dem konkreten Fall sollte es relativ einfach sein, das Aussenden von Emails im Hintergrund zu verunmöglichen, da jede Zeile Code, die durch die Server von WebTV geht, von diesen gefiltert wird, um die Familienfreundlichkeit des Dienstes zu gewährleisten. Der "bösartige" Code könnte damit neutralisiert werden.

nach oben