In a recent assignment, I was asked to do an IT security audit of a Samsung Smart-TV app. It took me some time to find the (for me) ideal solution to do the audit with my usual setup of tools. Since Smart-TV apps are based on javascript, they run on a fancy browser in the Smart-TV device. Consequently, using the same auditing techniques for Smart-TV apps as for web applications makes sense. So the goal was to get all the requests and responses from the emulator through a proxy – in my case BurpSuite. I hope to help fellow IT security auditors to save some time with this little write-up. Read the rest of this entry »
In the last blog-post on this blog, I focussed on the use of Google analytics in HbbTV applications. After almost two months, the situation has changed quite a bit. Read the rest of this entry »
HbbTV update on the use of Google Analytics
Posted: December 28, 2013 in HbbTV, Privacy, Smart TV, trifinite.org
After yesterdays talk at 30C3, a very intersting question was asked by a person the audience. The question was, whether the stations that use Google analytics in order to track their viewers are using it in a legal way. In order to use Analytics legally, the tracking code has to be used with the anonymizeIp parameter. So I took some time and checked the stations red button pages in order to find out, whether the tracking code complies with the law. Read the rest of this entry »
Spooofticker – Spoofing Newstickers with HbbTV
Posted: December 27, 2013 in HbbTV, security, Smart TV, trifinite.org
Since attackers could modify the information that is being displayed on HbbTV capable SmartTVs, there is now a project that overlaps the news ticker section of some stations’ program. Read the rest of this entry »
Meet HAL – Your new Best Friend
Posted: November 18, 2013 in HbbTV, security, Smart TV, trifinite.org
HAL – to serve and protect
Major players in the entertainment industry specified a standard that defines a way for connected Smart TVs to access additional content from the Internet. This so-called HbbTV standard (Hybrid broadcast broadband Television) uses portions of the DVB broadcast stream (DSM-CC) in order to embed references to online resources. As it turned out, many HbbTV-capable devices offer little or no protection against malicious content that is eventually loaded down from the Internet by Smart TVs. Possible attack vectors are shown in my earlier Blog post.
Read the rest of this entry »
19
OMG – our Smart TV got pr0wn3d!
A large amount of the TV sets currently available for sale belong to the group of “Connected TVs” or “Smart TVs”. These devices have the capability to access the contents of online media libraries and allow users to access Internet-pages via an integrated web-browser. Mostly for the European market, the available devices have a feature called HbbTV. HbbTV stands for Hybrid Broadcast Broadband TV and defines a standard for TV sets to access station-specific online contents. Read the rest of this entry »
Linksammlung: PechaKucha-Vortrag zu Vorratsdatenspeicherung in Österreich
Posted: May 10, 2012 in Austria, general, trifinite.orgTags: Österreich, pechakuchasalzburg, VDS, Vorratsdatenspeicherung
In diesem Post habe ich einfach die Links zusammengeschrieben, die mir bei meinen Recherchen zum Vortrag positiv aufgefallen sind bzw. aus meiner Sicht relevante Informationen beinhalten. Die Links sind relativ unsortiert und haben meistens nur eine kurze Inhaltsüberschrift.
Wer das hier gut findet und das ohne viel Zutun unterstützen möchte, setzt sich am Besten ein Bookmark auf diese Seite und klickt vor jedem Einkauf bei amazon.de auf das Amazon.de-Logo auf der linken Seite. Vielen Dank :)
UPDATE: Das Video vom Vortrag ist jetzt online!
Linkliste:
Österreichische Unterschriftenaktion gegen VDS (mitmachen und weitersagen!)
https://zeichnemit.at/
AnonBox-Projekt des CCC
https://anonbox.net/index.de.html
DuckDuckGo (Diskrete Suchmaschine)
http://duckduckgo.com/
Wikipedia-Eintrag zu Vorratsdatenspeicherung
http://de.wikipedia.org/wiki/Vorratsdatenspeicherung
Digitalks Social Graph (Beispiel für Netzwerk Visualisierung)
http://www.youtube.com/watch?v=x6FvzUrxnNY
InterVPN – Übersicht mit vielen VPN-Anbietern
http://www.intervpn.com/
Tor – The Onion Router
https://www.torproject.org/
TKG 2003
http://www.rtr.at/de/tk/tkg2003
Icons
http://www.iconarchive.com
Verfassungsklage gegen Vorratsdatenspeicherung
http://www.tt.com/Nachrichten/4566923-2/verfassungsklage-gegen-vorratsdatenspeicherung.csp
Österreichische Prepaid-Handies
http://prepaid.de/oesterreich–schweiz/uebersicht-oesterreich.php
ARGE Daten zur Vorratsdatenspeicherung
http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=90239zeu
Privacy-Handbuch
https://www.awxcnx.de/handbuch.htm
VDS – Verstoß gegen Grundrechte
http://www.euractiv.de/digitale-agenda/artikel/vorratsdatenspeicherung—verstoss-gegen-grundrechte-004958
IF WE DON’T, REMEMBER ME. (Living Stills)
http://iwdrm.tumblr.com
fuck you very much – Blog (immer eine gute Inspiration)
http://fuckyouverymuch.dk
Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten
http://de.wikipedia.org/wiki/Richtlinie_2006/24/EG_%C3%BCber_die_Vorratsspeicherung_von_Daten
Zypern (Balls of Steel)
http://netzpolitik.org/2011/oberstes-gericht-von-zypern-kippt-vorratsdatenspeicherung/
Irland und Slowakei dagegen
http://www.taz.de/!49123/
Sehr gut reflektierte Beiträge zum Thema
http://netzpolitik.org/?s=vorratsdatenspeicherung&searchsubmit=Suchen
CCC-Studie zur VDS
http://ccc.de/de/updates/2012/mythos-schutzluecke
Arbeits-Kreis Vorratsdatenspeicherung Österreich
http://www.akvorrat.at/
http://wiki.akvorrat.at/doku.php
Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten
http://de.wikipedia.org/wiki/Richtlinie_2006/24/EG_%C3%BCber_die_Vorratsspeicherung_von_Daten
