Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 10/6/2014
Angribere kan udnytte sårbarheder i softwaren til web-funktioner over digitalt fjernsyn. Det kræver dog, at de sætter en tv-sender op.HbbTV (Hybrid Broadcast Broadband TV) er en standard, som blandt andre DR understøtter. Den gør det muligt at sende webdata sammen med et digitalt tv-signal.
Teknologien har en alvorlig sårbarhed, mener forskerne Yossef Oren og Angelos D. Keromytis fra Columbia University: Den bryder med den sikkerhed, som ligger i same origin-politikken, der gælder for alt web-indhold.
Same origin betyder, at indhold på en webside der kommer fra forskellige kilder, har begrænsede rettigheder. Kun hvis to stumper indhold kommer fra den samme kilde, kan de interagere med hinanden. På den måde undgår man, at en web-annonce kan ændre på indholdet på den side, hvor den vises.
Men web-indhold sendt som led i en digital tv-strøm har ingen kilde i traditionel forstand: Der er ikke et domænenavn og en port. I stedet lader HbbTV-standarden det være op til afsenderen selv at oplyse kilden.
På den måde kan en angriber angive, at kilden er et websted, som offeret er logget ind på. Dermed kan angriberen optræde som offeret på webstedet også uden at offeret opdager det.
Angrebet kræver, at angriberen opsamler et digitalt tv-signal og sender det videre suppleret med sine egne angrebsdata. Det kan i teorien lade sig gøre, hvis angriberens tv-sender sender med et stærkere signal end den rigtige tv-sender.
Ifølge forskerne har de informeret HbbTV Technical Group under Digital Video Broadcasting-konsortiet om sårbarhederne. Men gruppen mener ikke, at der er grund til at ændre på standarden som følge af oplysningerne.