Dear Philips… or how to communicate a security issue with your TV firmware (Update 2)

Dear Philips,

the last days you were as often in the press as when you announce new TV models. But this time it was about a security issue in your Miracast functionality of your 2013 high-end TV models (6xx8 – 9708). However, only the press is talking about this serious issue. From your side no word at all. As in January with you SmartTV maintenance issue, it seems, that you don’t know how to communicate with your customers.

So, what’s exactly the security issue with Miracast?
In short words: The aforementioned TV series did not check who is connecting to the TVs via the Miracast functionality. So, one is able to establish a direct connection to these TVs without letting the owners know. A hacker can now access a USB connected device (such as USB stick or USB HDD) and the stored data. Furthermore, it is possible to steal browser cookies.

So, what did you do?
Nothing… from customer’s point of view.

What you should do?
From my point of view, such a serious security issue needs to be communicated:

  1. Let the customers know, that there is an issue
  2. Let the customers know, how one can temporarily secure the TVs (in this case: an tutorial to disable Miracast)
  3. Provide an update as soon as possible
  4. Communicate that there is an update available which fixes this issue

Nowadays, almost every day security issues were found (e.g. internet routers). And companies learnt, that communication to its customers has top priority. If this doesn’t happen, you will be always remembered as the ones, who did not inform people, when something is not okay. Security by obscurity is not state of the art.

And this is not the first time this year, that you have a security issue with your SmartTVs. End of January 2014 the German IT magazine c’t tested the privacy of current SmartTV. You last years top model 65PFL9708 (Ultra HD) was one of them. The magazine found out, that your TVs don’t check if SSL certificates come from a trusted CA. However, they wrote, that you were informed and that you will provide an update on this. So people/customers who read this article now waited for an update on this issue. And what are customers waiting for? Right, a message from you, that this has been fixed. Since this doesn’t happen, they took a look at the firmware changelog. But the following firmware update (in this case 173.46) does not indicate anything regarding this issue in the changelog.

Questions: Is this still open or already fixed? And since the firmware is all the same for all TV models 6xx8 till 9708 it’s a huge amount of TVs which does have this problem. Furthermore, if this SSL issue is based on the integrated web browser: is this issue also present in 2012 high-end series (Fusion R1)? Or even in TV550 based TVs (since 2010)? These questions won’t arise if you communicate in a right way with your customers (which TV series, which affected firmware versions)!

Same holds for the Miracast issue. You just released an update for the affected TVs. Customers could expect, that this update will fix the security hole. But the changelog does not state anything regarding this (well, in this case the firmware was compiled before the issue hit the public).

So how could you communicate such issues? From my point of view you have at least two options: use your forums or use your SmartTVs. You can create a “Bulletin Forum” to post messages regarding such issues (such as Microsoft’s security bulletin). Your forums are a direct communication with your customers! Or just use your SmartTVs by sending a pop-up via IP-EPG or SmartTV – it’s all web based. That means, it’s easy to implement such a thing. A warning message could contain an easy description to deactivate Miracast temporarily. And don’t forget to make such message multilingual – not all customers can read English! Maybe it’s even possible to send a “Miracast switch off” via IP-Push.

Changelogs…
Speaking of changelogs. From my point of view, you were really funny to release an update on 1st April (April Fool’s Day) where the changelog states “Improvements for reboots“. What kind of English is that? You improved the reboots? Do the TVs reboot in a better way as with previous firmwares now? Do we have now even more reboots? You should consider to invest more than one minute in a changelog. Especially when you need over two month to release an update with one improvement. If you also fix some minor issues, just state them! Even “Fixed some minor issues” is worth to be put into a changelog.

Final words…
Well, I hope you might consider some of my ideas… there is always space for improvements! So, please start to communicate…

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Update 1 (3.4.2014):

A fix for the Miracast issue is included in firmware update version 173.49

Update 2 (4.4.2014):

A statement about the availability of the new firmware including the fix for the Miracast issue has been made.

Toengels Philips Blog - Logo (512x512px)

Toengels Philips Blog gibt es seit Oktober 2010. Anfänglich spezialisiert auf den Philips Cinema Platinum 21:9 (55PFL9955H/12), fokussiert sich dieser Blog inzwischen auf viele Themen rund um Philips TV, Philips AVM (Audio, Video, Multimedia) und Philips Hue. Unterstützen kannst du diesen Blog beim Einkauf über Amazon oder via Spende für die Kaffeekasse.

Dear Philips… or the way, how to communicate a maintenance on your SmartTV portal

Dear Philips,

the last 24 hours were again a good example, how bad you communicate with your customers!

Philips: Due to a maintenance the requested page is not available
Philips: Due to a maintenance the requested page is not available

What happened? Yesterday morning you started a maintenance on your SmartTV portal and this maintenance lasted almost a complete day. Well, it’s really good, that you try to improve you stuff over there, but you need to communicate this to your customers! Your end-users! At least, when it directly affects your customers – and yesterday it did!

From my point of view (and many others) you made two big mistakes:

  1. You did NOT announce any maintenance. You have a “Support Forum” – a very fast way to communicate to your customers! Take a look at it – there are many reported “problems” that “Due to a maintenance the requested page is not available”! Many people don’t understand, that their SmartTV is in the end a webpage based system! They think, their TVs and/or AVM devices are broken! (The Support Forum moderators can only provide information they have! So, let them know!)
  2. Your placeholder (“Due to a maintenance the requested webpage is not available”) is only displayed in English! Do you think, that every customer all over the world is able to understand that? For example: people set up their TVs to German and then they got a message on their TVs they don’t understand!

So – please learn, how to communicate with your customers! This would be a win-win situation in the end! But not, how it’s done currently… Take a minute or two to think about it! How do you called it in the good old times? “Let’s Make Things Better”

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

PS: Some blog statistics from yesterday

  • doubled amount of visitors looking for a solution
  • top 9 search words
    1. due to maintenance the requested page is not available philips
    2. due to maintenance the requested page is not available
    3. philips net tv due to maintenance the requested page is not available
    4. philips smart tv due to maintenance the requested page is not available
    5. net tv due to maintenance the requested page is not available
    6. philips due to maintenance the requested page is not available
    7. philips net tv due to maintenance
    8. due to maintenance the requested page is not available übersetzung
    9. philips smart tv probleme
Toengels Philips Blog - Logo (512x512px)

Toengels Philips Blog gibt es seit Oktober 2010. Anfänglich spezialisiert auf den Philips Cinema Platinum 21:9 (55PFL9955H/12), fokussiert sich dieser Blog inzwischen auf viele Themen rund um Philips TV, Philips AVM (Audio, Video, Multimedia) und Philips Hue. Unterstützen kannst du diesen Blog beim Einkauf über Amazon oder via Spende für die Kaffeekasse.

Dear Philips: PLEASE FIX YOUR SERVER ISSUES!!!

Dear guys at Philips,

whoever is responsible for the IP-EPG and SmartTV server: MOVE YOUR ASS and FIX your issues!

It’s a shame that you (again) have problems with your infrastructure! So many people have problems to use their TVs / AVM devices due to the broken server connections! Even USB-Recordings are not playable due to the dependency of IP-EPG!

Are you sleeping that you can’t fix such a problem in over 3 weeks? Since over 3 years you have permanently problems with your IT – especially on christmas time!!!

THIS IS RIDICULOUS!

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Toengels Philips Blog - Logo (512x512px)

Toengels Philips Blog gibt es seit Oktober 2010. Anfänglich spezialisiert auf den Philips Cinema Platinum 21:9 (55PFL9955H/12), fokussiert sich dieser Blog inzwischen auf viele Themen rund um Philips TV, Philips AVM (Audio, Video, Multimedia) und Philips Hue. Unterstützen kannst du diesen Blog beim Einkauf über Amazon oder via Spende für die Kaffeekasse.

In eigener Sache: Drei Jahre “Toengel’s Philips Blog”

Tachchen,

nachdem ich vorletzte Woche die Marke von 4 Millionen Blog-Aufrufen geknackt habe, steht schon das nächste Jubiläum an: Drei Jahre “Toengel’s Philips Blog”…

Um mich mal selbst zu zitieren:

Um mir damals die Zeit bis zur Lieferung meines 2010er 21:9-TVs zu überbrücken und mir die Sucherei nach TV-Fakten zu verkürzen, entschied ich mich, einen Blog aufzusetzen. Inzwischen hat sich mein Hobby-Projekt zu einem Hobby-Großprojekt entwickelt, dass nicht nur TVs sondern auch alle anderen Entertainmentprodukte abdeckt…

Auch dieses Jahr ein paar Blog-Fakten:

  • Blogaufrufe: über 4 Millionen
  • erfolgreichster Tag: 17.2.2012 mit über 11.400 Aufrufen
  • Kommentare: über 9400 (genehmigte Zwinkerndes Smiley)
  • Blogeinträge: 1020
  • meistgelesener Artikel: Gesamtübersicht über 2012er 6xx7er Serie mit über 86.000 Aufrufen

Ich möchte allen Lesern und Kommentarschreibern danken. Weiterhin geht natürlich auch mein Dank an die “Kollegen” bei Philips/TP Vision und Co. Zwinkerndes Smiley

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Toengels Philips Blog - Logo (512x512px)

Toengels Philips Blog gibt es seit Oktober 2010. Anfänglich spezialisiert auf den Philips Cinema Platinum 21:9 (55PFL9955H/12), fokussiert sich dieser Blog inzwischen auf viele Themen rund um Philips TV, Philips AVM (Audio, Video, Multimedia) und Philips Hue. Unterstützen kannst du diesen Blog beim Einkauf über Amazon oder via Spende für die Kaffeekasse.

In eigener Sache: 4 Millionen Blog-Aufrufe

Tachchen,

nachdem ich im  Januar dieses Jahres 3 Millionen Blog-Aufrufe feiern konnte, komm es heute zu einer erneuten kleinen runden Feier. Im Laufe der vergangenen Stunde wurde die Grenze von 4.000.000 Blog-Aufrufen geknackt.

Ich danke allen für Ihre Treue und Ihre Mitarbeit!

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Toengels Philips Blog - Logo (512x512px)

Toengels Philips Blog gibt es seit Oktober 2010. Anfänglich spezialisiert auf den Philips Cinema Platinum 21:9 (55PFL9955H/12), fokussiert sich dieser Blog inzwischen auf viele Themen rund um Philips TV, Philips AVM (Audio, Video, Multimedia) und Philips Hue. Unterstützen kannst du diesen Blog beim Einkauf über Amazon oder via Spende für die Kaffeekasse.

Ein Kommentar zur neuen Firmware 14.105 für 2011er TV-Geräte

(Lieve Nederlandse lezer, klik hier voor automatische vertaling.)

Tachchen,

normalerweise versuche ich immer objektiv zu bloggen. Aber wer meinen Blog schon länger verfolgt, weiß, dass ich auch ab uns zu mal “subjektiv werde”. Es ist also mal wieder soweit…

Ich beziehe mich in meinem nun folgenden Kommentar auf meinen Cinema 21:9 Platinum (also Softwarebranch Q5553). Jedoch sollte dies 1:1 auf alle restlichen 2011er TVs abbildbar sein, die den TV550-Chip nutzen (ab 5806 und höher, Q5551 Firmware).

Es sind nun mehr als _sieben_ Monate seit der letzten Firmware-Veröffentlichung vergangen (Version 14.104 wurde am 8. [Q5551] bzw. 9. [Q5553] November 2012 und Version 14.105 wurde am 19. Juni 2013 [Q5551 und Q5553] kompiliert). Warum die Firmware 1,5 Monate gebraucht hat, bis sie veröffentlicht (Ende Juli / Anfang August) wurde, erschließt sich mir nicht – für den Test der im Changelog aufgeführten Punkte braucht man aus meiner Sicht nicht solange. Aber ich kenne auch nicht die Testprotokolle.

Nun gut… kommen wir zum Endkunden, der ja heutzutage (zugegebenermaßen überall) als Tester “ausgenutzt” wird – bzw. das Gerät reift beim Endkunden. Da es viele Endkunden gibt, die Schmerz ertragen und auf Besserung hoffen, nutzen diese die vielen verschiedenen Kanäle, um Probleme zu melden: Service-Hotline, E-Mail, Philips Foren und manchmal hilft auch der direkte Kontakt zu jemanden, der einen kennt, der einen kennt…

Man sollte nun meinen, dass das Feedback – was im Falle der Philips Foren oft sehr detailliert und von vielen anderen Nutzer bestätigt wird – dankend angenommen wird, um die eigenen Produkte zu verbessern. Hier hofft man natürlich auch, dass die Verbesserung auch im eigenen Produkt ankommt und nicht erst in der nächsten TV-Generation. So die Sicht der Endkunden. Ein guter Kunde ist einer, der wieder kommt… und Mundpropaganda (manche würden heute auch Social Media sagen) sollte man auch nicht verachten.

Probleme, die mir auffallen, melde ich im Philips Forum – schön detailliert – so wie es sich als Tester gehört. Hier muss man sagen, dass sie Philips bzw. deren Service die Mühe macht, das Feedback geordnet aufzunehmen. Das war in den Anfängen des Forums nicht immer so. Als Tester weiß man: Ein guter Bug/Fehler ist ein reproduzierbarer Fehler. Das wissen auch Softwareentwickler. Es gibt nichts schlimmeres, als Fehler, die nur ab und zu auftreten.

OK – genug zum Rahmenprogramm. Kommen wir nun zur Firmware 14.105 für 2011er TV. Was hat sich getan in über sieben Monaten? Ein Blick in das Changelog lässt nicht viel Gutes vermuten. Es sind hauptsächlich Maintainance-Änderungen bzgl. der eigenen SmartTV-Server und Änderungen, damit die TVs den Zertifizierungen einzelnen Kabel- bzw. Inhalteanbieter entsprechen. (Der Vollständigkeit halber sei hier noch erwähnt, dass Probleme mit den neuen Horizon-Box gelöst wurden, die nun auch in Deutschland bei Unitymedia Einzug hält.)

Klar – man kann heutzutage nicht davon ausgehen, dass Produkte über einen langen Zeitraum mit Updates versehen werden. Aber ich denke schon, dass man sagen kann, dass ein TV auch nach zwei Jahren nicht auf den Abstellgleis kommen sollte. Im Fall des Cinema 21:9 Platinum sei gesagt, dass dieser erst Ende August 2011 vorgestellt wurde. Kaufen konnte man ihn erst noch später. Also noch _keine_ zwei Jahre alt…

Und nun das… ein Maintainance-Firmware-Update – nach über sieben Monaten des Wartens nach der letzten Firmware. Gehen wir jetzt mal von der anderen Seite heran: Wie sah es _vor_ sieben Monaten aus? Was hat die Firmware geleistet?

Ich möchte jetzt exemplarisch drei Fehler-Beispiele nennen – Fehler, die IMMER reproduzierbar sind. Jeder Softwareentwickler würde sich freuen, wenn er solche Fehler-Tickets bekommt…

TimeShift: Diese Funktion erlaubt es, die aktuelle TV-Sendung für maximal 90 Minuten anzuhalten (mehr ist nicht erlaubt, wenn man die CI/CI+Zertifizierung haben will – zumindest hab ich das so verstanden). TimeShift ist also eine Funktion zum Pausieren. Pause? Wie mach ich das? Richtig! Mit der Pause-Taste auf der Fernbedienung. Nicht so bei TV-Sendern, die HbbTV zur Verfügung stellen und einem 2011er Philips TV! Hier muss mal die Play-Taste drücken. Zugegeben – das ist ein kleiner Fehler. Aber ein Fehler, der den Endkunden _direkt_ betrifft. Im Alltag! Im Nutzerinterface! Also die direkte Schnittstelle des Kunden zum Philips-Produkt. Jeder, der sich schon mal mit Usability oder Convenience befasst hat, weiß, dass dies heutzutage einer der wichtigsten Punkte bei der Produktentwicklung ist. (Ein Allweckheilmittel der Supports ist übrigens: “Deaktivieren sie HbbTV, damit ihr TV besser funktioniert”. Ich lasse dies mal unkommentiert – aber nicht unerwähnt!) (siehe Philips Forum)

Philips 2011: Remote Control Recording Buttons
Philips 2011: Remote Control Recording Buttons

Videotext: Die 2011er TVs bieten die Möglichkeit, neben dem Videotext das TV-Bild parallel darzustellen (“Dual Bild”). Da könnte man meinen, dass man das ohne Probleme umsetzen kann. Gut – der Wille war da, die Umsetzung ist fehlerhaft. Und – Richtig! – mit reproduzierbaren Fehlern: Die Videotexttafel ist scheinbar rechts ein wenig abgeschnitten; das TV-Bild ist rechts abgeschnitten (10 cm schwarzer Streifen, kein Senderlogo sichtbar). Auch rechts vom Videotext ist massig Platz. Manchmal ist das Videobild auch mittig und der Videotext überdeckt den größten Teil des Videobildes. Weiterhin ist das TV-Bild so gesteckt, dass es in die linke Hälfte des Bildschirms passen soll – da ist es auch egal, ob das Seitenverhältnis stimmt. Wer denkt sich so etwas aus? Wen man eine Funktion nicht ordnungsgemäß umsetzen kann, dass lässt man sie weg! Oder reicht sie nach, wenn sie funktioniert! (siehe Philips Forum)

Philips 2011: TV550R3 FW 14.104 Videotext DualView Issue
Philips 2011: TV550R3 FW 14.104 Videotext DualView Issue
Philips 2011: TV550R3 FW 14.104 Videotext DualView Issue
Philips 2011: TV550R3 FW 14.104 Videotext DualView Issue

Nochmal TimeShift: Wenn man eine Sendung zeitversetzt schaut und das irgendwann vergisst und auf einen anderen Sender umschalten will, dann kommt eine Warnung, dass man vorher TimeShift anhalten muss. Soweit ist das auch vollkommen OK. Will man jedoch nicht umschalten, sondern im Internet-EPG (IP-EPG) etwas nachschauen, dann kommt keine Warnung und die zeitversetzte Aufnahme wird einfach abgebrochen! Warum? (siehe auch Philips Forum)

Kommen wir nun nochmal zum dritten Absatz diese Blockeintrags zurück: Testprotokolle und die Zeit zwischen Softwarekompilierung und Veröffentlichung. Irgendwas stimmt im System nicht. Entweder sind die Testprotokolle oder Verfahrensanweisungen nicht passend oder Fehler werden einfach ignoriert. Wie kann es sein, dass solche Fehler auch nach mehr als 1,5 Jahren nicht behoben sind? Fehler, die vor einigen Monaten (öffentlichkeitswirksam) detailliert im Philips Forum beschrieben wurden? Die alle Nutzer nachvollziehen können? Fehler, die von Support-Mitarbeitern an die Entwicklungsabteilungen weitergeleitet werden? Wieso diese Ignoranz?

Klar – jede Entwicklung kostet Geld. Und überall wird gespart – vor allem im hart umkämpften TV-Markt. Aber TV-Geräte sind ein Massenmarktprodukt für “Menschen wie du und ich”! Aber man darf nicht an den falschen Ecken sparen! Zumal, jede Verbesserung fließt automatisch in die nächste Generation mit ein. Man kauft doch nicht einen neuen TV, um endlich einen zu bekommen, der fehlerfrei ist! Nein, man kauft einen, um sich den Fortschritt nach Hause zu holen! Wenn man jedoch in der Vergangenheit nicht ordentlich arbeitet, wird der Fortschritt beim Konkurrenten eingekauft!

Die kleinen Dinge machen es oft aus! Es hilft übrigens ungemein, wenn man als Entwickler bzw. als deren Manager oder “Entscheider” die Geräte auch mal selbst benutzt!

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

PS: Wer noch weitere Fehler findet, kann sie im Philips Forum posten (die Hoffnung stirbt zuletzt):

Toengels Philips Blog - Logo (512x512px)

Toengels Philips Blog gibt es seit Oktober 2010. Anfänglich spezialisiert auf den Philips Cinema Platinum 21:9 (55PFL9955H/12), fokussiert sich dieser Blog inzwischen auf viele Themen rund um Philips TV, Philips AVM (Audio, Video, Multimedia) und Philips Hue. Unterstützen kannst du diesen Blog beim Einkauf über Amazon oder via Spende für die Kaffeekasse.