TU Darmstadt / ULB / TUprints

Smart TV Privacy Risks and Protection Measures

Ghiglieri, Marco (2017)
Smart TV Privacy Risks and Protection Measures.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Copyright Information: CC BY-NC-ND 4.0 International - Creative Commons, Attribution NonCommercial, NoDerivs.

Download (8MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Smart TV Privacy Risks and Protection Measures
Language: English
Referees: Waidner, Prof. Dr. Michael ; Volkamer, Prof. Dr. Melanie
Date: 28 February 2017
Place of Publication: Darmstadt
Date of oral examination: 25 April 2017

Smart TVs have been becoming more popular in recent years. They are not entirely new devices, they are rather traditional TVs with current technology and increased functionality. In addition to streaming traditional broadcast content, Smart TVs facilitate access to Internet content and services. Thus, different Internet functionality on Smart TVs is available. For instance, Facebook, different video on demand services or online games. Some Internet functionality can access and utilize the integrated microphones and cameras. Smart TVs can also be used to browse on web applications that processes sensitive data such as online banking. Furthermore, the vendor independent functionality HbbTV (Hybrid broadcast broadband TV) has been available on almost all new Smart TVs that have been sold in Germany since 2015. This functionality combines the traditional broadcast content with Internet content. It is activated by default. Examples for the content are program-dependent functionality such as infotainment from the Internet, targeted advertisements, direct support for consumers while teleshopping and channeldependent video on demand services.

At the first glance, the Internet functionality of Smart TVs appears to deliver distinct value, as compared to traditional TVs. However, Smart TVs are also, as known from other Internet enabled devices, exposed to different risks due to the Internet connectivity. They could be subject to different attacks that aim to access the Smart TV or the stored data unauthorized. Researchers have shown that it was possible to gain access to the Smart TV and its microphone over a vulnerable media player. For hackers it could already be of value to read sensitive data for example from online banking in order to manipulate or misuse this data afterwards. Therefore, Smart TVs have to validate whether the connection is as secure as the web application provider intends. If the connection is not or not correctly validated, the consumer’s data is under risk and it could cause social or financial losses for consumers. Broadcasters and vendors are also interested in Smart TV data to establish usage profiles of Smart TVs. This usage data can be used to improve their products, program schedule or targeted advertisements. Nowadays, broadcasters acquire usage data from specialized companies such as GfK that extrapolate the viewing figures from a specific representative amount of households to the population. From a technical perspective, it is not a challenge for broadcasters to collect usage data directly from the Smart TVs using HbbTV. Vendors could get the data directly from the Smart TVs. This usage data would reveal more precise data of consumers. For example, when and how much is a Smart TV used and which channels consumers prefer. It could be a risk when the data is used in another context or purposes than expected by consumers or permitted by law.

The presented risks are becoming more and more important as the distribution of Smart TVs increases. Thus, our primary goal of this work was as follows: • identify and understand Smart TV related privacy risks, • research consumers’ knowledge and attitudes of Smart TV related privacy risks, • and develop a combination of appropriate awareness and technical protection measures.

We revealed severe privacy risks for consumers in two extensive analyses in the first aspect of the goal: Severe privacy risks in the HbbTV functionality analyses for consumers were revealed. In 2013, we published, as the first paper in this area, that data transfers to different servers already started when a channel was selected that supported HbbTV. This happened without that the consumers actively used the HbbTV functionality, i.e., the data transfer started without pressing the Red Button on the remote control. The destinations of this data were among others the broadcasters and third parties like Google Analytics that are specialized to profile consumers. This data can be used to improve products, targeted advertisement and hackers could steal the data from broadcasters in order to misuse them. In this publication we also recommended some countermeasures to reduce the risk for consumers. It was partly added in the HbbTV standard. Media and press immediately reported about our results. Afterwards, TV and interviews with different magazines were conducted. In order to analyze the evolution of HbbTV, we conducted further analyses in 2014 and 2015 and published the results in 2014 and 2016. In addition to the results in 2013, we found radio channels that supported HbbTV. Those had the same characteristics as the analyzed TV channels in 2012. The consumers must be aware of this risk to be able to disable HbbTV. Moreover, in a systematical security analysis of seven Smart TVs in 2012 to 2016, we revealed that the validation of secure connections is not performed correctly. This issue still exists in some subsystems of the Smart TVs. Data of secure web applications, e.g. online banking, could have been eavesdropped or manipulated. This vulnerability was not limited to the web browser, but also other functionality (e.g. HbbTV) of the Smart TV was affected. In 2012 we, to the best of our knowledge, were the first researchers who revealed this vulnerability and communicated it to the vendor. It was patched in 2014. Some Samsung Smart TVs are still vulnerable since the update has to be performed over USB, but consumers have not been informed about that issue yet. In the second aspect of the goal we analyzed the assumption that consumers are not aware of Smart TV related privacy risks as well as of countermeasures. We were, to the best of our knowledge, the first researchers that conducted a survey with 200 participants to research it. We explored that consumers are not aware of privacy risks or appropriate countermeasures. Only a small number of participants mentioned privacy risks or countermeasures. Additionally, we presented four different scenarios motivated by occurred privacy issues that should be rated by the participants. We asked them to justify the ratings. Based on these, we identified factors that potentially impacted the consumers’ attitudes towards privacy risks and their ratings. This factors were essential to develop further awareness-raising messages. In the last aspect of the goal we analyzed awareness and technical measures. To the best of our knowledge, we conducted the first research work that evaluated awareness-raising messages and technical protection measures for Smart TVs. We proceeded as follows: Based on the factors, we developed different awareness-raising messages that we evaluated in a pre-study. We concluded that privacy-related awareness could best be prompted by messages that avoid being too specific about a potential misuse. Being too specific (e.g. burglary) is likely to be judged as low risk as it is considered as too unlikely in this context. Two of the evaluated messages were further evaluated in another study of 155 participants. The result was that most consumers would willingly sacrifice their privacy to benefit from Smart TV functionality. This analysis indicated that awareness-raising messages can increase awareness however messages alone do not show the desired effect on consumers. Additionally, we combined the above mentioned awareness messages with feasible protection measures and evaluated them in a study with 169 participants. Our result is that consumers would spend time and/or money on protecting their privacy when the Smart TV’s Internet functionality is retained. Based on the previous results, we tailored a prototypical solution, the Smart TV Protector, which shows the feasibility of an appropriate technical protection measure. The Smart TV Protector is the first technical protection measure for Smart TVs. Furthermore, we theoretically outlined an extension for the Smart TV Protector that respects broadcasters’ and vendors’ interests. We developed an approach that uses methods to keep the privacy protected while aiming to reach a high stakeholder acceptance. This approach is only feasible if all stakeholders accept the rules.

Alternative Abstract:
Alternative AbstractLanguage

Die Verbreitung von Smart-TVs stieg in den letzten Jahren stetig an. Smart-TVs sind keine gänzlich neue Geräteklasse. Sie sind vielmehr eine Erweiterung der traditionellen Fernsehgeräte und bieten neben dem Empfang des Broadcastsignals zusätzlich die Möglichkeit, über das Internet zu kommunizieren. Durch die zusätzliche Internetverbindung werden verschiedene Internetfunktionen auf Smart-TVs möglich. Zum Beispiel sind dies Facebook, verschiedene Mediatheken sowie Online-Spiele. Einige Funktionen können die in vielen Smart-TVs eingebauten Mikrofone oder Kameras nutzen. Auch Web-Anwendungen, wie zum Beispiel Onlinebanking, können über die integrierten Web-Browser genutzt werden. Weiterhin unterstützen fast alle seit 2015 verkauften Smart-TVs die herstellerunabhängige Funktion HbbTV (Hybrid broadcast broadband TV). Diese Funktion ermöglicht es, Internetinhalte mit dem (traditionellen) Fernsehen zu verbinden. Sie ist standardmäßig aktiviert. HbbTV bietet dem Konsumenten programmabhängige Funktionen, wie beispielsweise die Anzeige von Live-Informationen aus dem Internet, angepasste Werbung, direkte Unterstützung beim Kauf von Teleshopping-Produkten oder auch senderabhängige Mediatheken. Auf den ersten Blick erscheinen die Internetfunktionen eines Smart-TVs so, als würden sie nur Vorteile für die Konsumenten bieten. Allerdings bringt die Verbindung des Smart-TVs mit dem Internet, wie bei anderen internetfähigen Geräten auch, Gefahren mit sich. Smart-TVs können somit Ziel verschiedener Angriffe werden, die es ermöglichen auf das Smart-TV und auf dessen Daten unlegitimiert zuzugreifen. Forscher zeigten, dass es möglich war, über einen verwundbaren Mediaplayer im Smart-TV Zugriff auf das Smart-TV und dessen Mikrofon sowie Kamera zu bekommen. Bei sensiblen Daten, wie zum Beispiel beim Onlinebanking, könnte es für Angreifer bereits wertvoll sein, die übertragenen Daten lesen zu können und sie dann zu manipulieren oder zu missbrauchen. Das Smart-TV sollte somit überprüfen, dass die Verbindungen so sicher sind, wie der Betreiber der WebAnwendung es vorsieht. Wird die Überprüfung der Verbindung nicht oder nicht korrekt durchgeführt, sind die Daten der Konsumenten in Gefahr und es kann ein sozialer oder finanzieller Schaden für Konsumenten entstehen. Sender und Hersteller haben ebenfalls Interesse daran, verschiedene Daten von Smart-TVs zu erhalten, die dafür genutzt werden können, um ein genaues Nutzungsprofil des Smart TVs zu erhalten. Dies kann für Produkt- oder Programmoptimierung sowie gezielte und personalisierte Werbung genutzt werden. Heutzutage beauftragen Sender Unternehmen wie die GfK, die mit Hochrechnungen aus repräsentativen Haushalten die Nutzerzahlen hochrechnen. Aus technischer Sicht ist die Erhebung dieser Nutzungsdaten auch direkt am Smart-TV mit Internetverbindung keine Herausforderung. Sender könnten die Daten mit HbbTV erheben und Hersteller könnten sie direkt von den Smart-TVs geschickt bekommen. Diese Daten würden deutlich genauere Informationen über den Konsumenten preisgeben. Beispielsweise wann und wieviel das Smart-TV genutzt wurde oder auch die Vorlieben bei der Programmwahl. Es kann dann eine Gefahr darstellen, wenn diese Daten in einem anderen Kontext oder zu einem anderen Zweck genutzt werden als der Konsument erwartet oder durch den Gesetzgeber erlaubt ist. Die aufgezeigten Gefahren werden mit zunehmender Verbreitung von Smart-TVs wichtiger, da diese immer mehr Menschen betreffen. Das dreigeteilte Ziel dieser Thesis ist daher: • Smart-TV bezogene Datenschutzgefahren zu identifizieren und diese zu verstehen, • das Wissen und die Haltung der Konsumenten gegenüber Smart-TV bezogenen Privatsphäre- und Datenschutzgefahren zu erforschen, • und Maßnahmen zur Sensibilisierung der Konsumenten sowie technische Schutzmaßnahmen für Smart-TV bezogene Privatsphäre- und Datenschutzgefahren zu entwickeln.

Im ersten Teilziel wurden in zwei umfangreichen Analysen erhebliche Datenschutzgefahren für Konsumenten aufgedeckt: Wir entdecken in unseren Analysen der HbbTV Funktionalität ernstzunehmende Datenschutzgefahren für Konsumenten. In 2013 veröffentlichten wir als erste Publikation auf diesem Gebiet, dass Datenübertragungen vom Smart-TV zu verschiedenen Zielen im Internet bereits stattfanden, wenn ein Sender mit HbbTV-Unterstützung am Smart-TV eingeschaltet wurde. Dies alles, ohne dass der Konsument HbbTV aktiv nutzte, d.h. bevor er auf den Red Button seiner Fernbedienung drückte, um HbbTV zu nutzen. Die Ziele dieser Datenübertragungen waren unter anderem die Server der Sender und auch Diensteanbieter wie Google Analytics, die dafür bestimmt sind, Nutzungsdaten über den Konsumenten zu erheben. Die Nutzungsmöglichkeit dieser Daten reicht von Produktverbesserung zu personalisierter Werbung bis hin zu Überwachung durch Hacker, falls die Daten beim Sender in falsche Hände geraten. In dieser Veröffentlichung machten wir Empfehlungen zur Reduktion der Gefahren für Konsumenten. Diese wurden teilweise in den HbbTV Standard aufgenommen. Nach Vorstellung der Veröffentlichung folgte eine sehr hohe Medienwirksamkeit und es wurde in Radio, TV, Zeitschriften und Zeitungen davon berichtet. Um die technische Entwicklung von HbbTV weiter zu untersuchen, führten wir weitere Analysen im Jahr 2014 und 2015 durch, die 2014 und 2016 veröffentlicht wurden. Es wurden zusätzlich zu den TV-Sendern noch Radiosender, die über Satellit übertragen wurden, mit HbbTV Signal gefunden. Diese wiesen die gleichen Gefahren wie die TV-Sender in 2013 auf. Der Konsument müsste über diese Gefahren aufgeklärt werden, um es bei Unbelieben abzuschalten. Weiterhin entdeckten wir in einer systematischen Sicherheitsanalyse von sieben Smart-TVs im Zeitraum von 2012 bis 2016, dass die Überprüfung von sicheren Verbindungen zu Web-Servern nicht korrekt durchgeführt wurde. Dies ist teilweise heute noch der Fall. Daten von sicheren Web-Anwendungen, wie zum Beispiel Onlinebanking, die auf dem Smart-TV aufgerufen wurden, konnten von Angreifern unbemerkt abgehört oder sogar manipuliert werden. Diese Schwachstelle wurde im Web-Browser und bei anderen Internetfunktionen wie zum Beispiel HbbTV des Smart-TVs nachgewiesen. In 2012 waren wir die ersten, die diese Schwachstellen aufdeckten und an den Hersteller meldeten. Erst in 2014 wurden diese schwerwiegenden Schwachstellen behoben. Einige Samsung Smart-TVs sind heute noch anfällig, da das Update bei diesen Modellen über USB geschieht und es keine Konsumenteninformation bisher gab. Im nächsten Teilziel analysierten wir die Annahme, dass die meisten Konsumenten keine Kenntnis von Datenschutzgefahren sowie Schutzmaßnahmen bei Smart-TVs haben. Da zu diesem Thema noch keine Forschungsergebnisse veröffentlicht wurden, konzipierten und führten wir eine Umfrage mit 200 Teilnehmern durch. Nur ein geringer Anteil der Teilnehmer kannte Smart-TV spezifische Gefahren und Schutzmaßnahmen. Wir analysierten die Einstellung der Teilnehmer gegenüber Datenschutzgefahren genauer, indem wir ihnen Gefahren zeigten und sie baten, diese bezüglich wie kritisch sie diese sehen, zu bewerten und ihre Bewertung zu begründen. Aus diesen Begründungen leiteten wir verschiedene Faktoren, die ihre Haltung gegenüber den Gefahren sowie ihre Bewertung beeinflussten ab. Diese Faktoren waren wichtig, um gezielte Sensibilisierungsmaßnahmen zu entwickeln. Im letzten Teilziel wurden Sensibilisierungsnachrichten und deren Auswirkung auf Konsumenten sowie technische Schutzmaßnahmen prototypisch entwickelt und evaluiert. Da auch für die von uns gesuchten Sensibilisierungsnachrichten sowie die technischen Schutzmaßnahmen für Smart-TVs keine Forschungsarbeiten existierten, gingen wir wie folgt vor: Aus den ermittelten Faktoren wurden verschiedene Sensibilisierungsnachrichten in einer Vorstudie evaluiert. Das Ergebnis war, dass Sensibilisierungsnachrichten Schaden kommunizieren müssen, aber dieser darf nicht zu konkret sein (z.B. Hauseinbruch), da die Nachricht sonst als unglaubwürdig von den Teilnehmern eingestuft wird.

Zwei der evaluierten Nachrichten wurden in einer weiteren Studie mit 155 Teilnehmern untersucht. Wir konnten durch diese Nachrichten eine Sensibilisierung feststellen, dennoch stuften die meisten Teilnehmer die Internetfunktionalität ihres Smart-TVs wichtiger ein als den Schutz ihrer Daten. Zusätzlich zu den beiden Sensibilisierungsnachrichten boten wir den Teilnehmern in einer weiteren Studie mit 169 Teilnehmern technische Schutzmaßnahmen an, die mit Kosten und/oder Zeitaufwand verbunden waren. Sensibiliserungsnachrichten und technische Schutzmaßnahmen, auch wenn sie Kosten oder einen erhöhten Zeitaufwand bedeuten, wurden von den Teilnehmern angenommen, sodass die meisten Teilnehmer sich für eine Schutzmaßnahme entschieden. Basierend auf den Ergebnissen entwickelten wir die erste prototypisch implementierte Schutzsoftware, den Smart TV Protector, der die Daten des Konsumenten schützt und dabei möglichst alle Internetfunktionalitäten beibehält. Der Smart TV Protector ist das erste Schutzsystem speziell für Smart-TVs und kann dadurch Smart-TV spezifische Eigenheiten, wie zum Beispiel HbbTV, gesondert behandeln. Weiterhin stellen wir eine theoretische Erweiterung zum Smart TV Protector vor, die auch die Interessen von Herstellern und Sendern beachtet. Dieses Konzept kann, wenn alle Stakeholder die Idee umsetzen, für alle Parteien vorteilhaft sein, da die Datenqualität steigt und Hersteller sowie Sender weiterhin die benötigten Daten erhalten.

URN: urn:nbn:de:tuda-tuprints-61879
Classification DDC: 000 Generalities, computers, information > 000 Generalities
000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
20 Department of Computer Science > Security in Information Technology
Date Deposited: 05 May 2017 08:57
Last Modified: 09 Jul 2020 01:37
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/6187
PPN: 402877586
Actions (login required)
View Item View Item