Philips-Statement zum Miracast-Sicherheitsproblem in 2013er TV-Geräten

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Jetzt bewerten!)
Loading...

Tachchen,

mich erreicht gerade ein Statement, indem Philips kommuniziert, dass ein Update für das kürzlich gefundene Miracast-Sicherheitsproblem verfügbar ist:

Bei den Serien 6xx8, 7xx8, 8xx8 und 9xx8 des Philips Smart TV-Modelljahres 2013 wurde eine Sicherheitslücke im Bereich Wi-Fi Miracast festgestellt. Direkt nach Bekanntwerden des Problems haben Ingenieure von TP Vision begonnen, an einer Lösung zu arbeiten.

Seit heute, 4. April 2014, können Nutzer betroffener TVs ein entsprechendes Firmware-Update installieren. Die neue Software ist auf der Philips Support Webseite www.philips.com/support verfügbar. Das Update mit der Versionsnummer (000.173.049.00) kann auf einen USB-Stick heruntergeladen werden. Wird dieser anschließend an den Smart TV angeschlossen, startet das Software Upgrade automatisch. Eine genaue Anleitung findet der Nutzer auf der Philips Support Webseite. Auch alle zukünftigen Software-Versionen werden den Patch beinhalten.

Die Firmware mit dem Sicherheits-Update wird in der nächsten Woche auch als automatisches Upgrade zur Verfügung stehen. Wenn der Philips Smart TV mit dem Internet verbunden ist, erhält der Nutzer eine Nachricht auf dem Bildschirm, die auf die neue Software hinweist.

Sollte ein Update für Nutzer nicht möglich sein, empfehlen wir die Wi-Fi Miracast-Funktion zu deaktivieren. Dazu wird im HOME-Menü unter „Netzwerkeinstellungen“ der Punkt „Miracast“ auf „Aus“ gestellt.

TP Vision bedauert die Notwendigkeit für dieses Sicherheits-Update. Wir werden die Angelegenheit intern sorgfältig analysieren und die notwendigen Maßnahmen einleiten, damit Besitzer von Philips TVs immer das bestmögliche und sicherste Smart TV-Erlebnis genießen.

Auch im deutschen Philips-Forum und im englischen Philips-Forum sind Nachrichten hierzu zu finden.

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Dear Philips… or how to communicate a security issue with your TV firmware (Update 2)

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Jetzt bewerten!)
Loading...

Dear Philips,

the last days you were as often in the press as when you announce new TV models. But this time it was about a security issue in your Miracast functionality of your 2013 high-end TV models (6xx8 – 9708). However, only the press is talking about this serious issue. From your side no word at all. As in January with you SmartTV maintenance issue, it seems, that you don’t know how to communicate with your customers.

So, what’s exactly the security issue with Miracast?
In short words: The aforementioned TV series did not check who is connecting to the TVs via the Miracast functionality. So, one is able to establish a direct connection to these TVs without letting the owners know. A hacker can now access a USB connected device (such as USB stick or USB HDD) and the stored data. Furthermore, it is possible to steal browser cookies.

So, what did you do?
Nothing… from customer’s point of view.

What you should do?
From my point of view, such a serious security issue needs to be communicated:

  1. Let the customers know, that there is an issue
  2. Let the customers know, how one can temporarily secure the TVs (in this case: an tutorial to disable Miracast)
  3. Provide an update as soon as possible
  4. Communicate that there is an update available which fixes this issue

Nowadays, almost every day security issues were found (e.g. internet routers). And companies learnt, that communication to its customers has top priority. If this doesn’t happen, you will be always remembered as the ones, who did not inform people, when something is not okay. Security by obscurity is not state of the art.

And this is not the first time this year, that you have a security issue with your SmartTVs. End of January 2014 the German IT magazine c’t tested the privacy of current SmartTV. You last years top model 65PFL9708 (Ultra HD) was one of them. The magazine found out, that your TVs don’t check if SSL certificates come from a trusted CA. However, they wrote, that you were informed and that you will provide an update on this. So people/customers who read this article now waited for an update on this issue. And what are customers waiting for? Right, a message from you, that this has been fixed. Since this doesn’t happen, they took a look at the firmware changelog. But the following firmware update (in this case 173.46) does not indicate anything regarding this issue in the changelog.

Questions: Is this still open or already fixed? And since the firmware is all the same for all TV models 6xx8 till 9708 it’s a huge amount of TVs which does have this problem. Furthermore, if this SSL issue is based on the integrated web browser: is this issue also present in 2012 high-end series (Fusion R1)? Or even in TV550 based TVs (since 2010)? These questions won’t arise if you communicate in a right way with your customers (which TV series, which affected firmware versions)!

Same holds for the Miracast issue. You just released an update for the affected TVs. Customers could expect, that this update will fix the security hole. But the changelog does not state anything regarding this (well, in this case the firmware was compiled before the issue hit the public).

So how could you communicate such issues? From my point of view you have at least two options: use your forums or use your SmartTVs. You can create a „Bulletin Forum“ to post messages regarding such issues (such as Microsoft’s security bulletin). Your forums are a direct communication with your customers! Or just use your SmartTVs by sending a pop-up via IP-EPG or SmartTV – it’s all web based. That means, it’s easy to implement such a thing. A warning message could contain an easy description to deactivate Miracast temporarily. And don’t forget to make such message multilingual – not all customers can read English! Maybe it’s even possible to send a „Miracast switch off“ via IP-Push.

Changelogs…
Speaking of changelogs. From my point of view, you were really funny to release an update on 1st April (April Fool’s Day) where the changelog states „Improvements for reboots„. What kind of English is that? You improved the reboots? Do the TVs reboot in a better way as with previous firmwares now? Do we have now even more reboots? You should consider to invest more than one minute in a changelog. Especially when you need over two month to release an update with one improvement. If you also fix some minor issues, just state them! Even „Fixed some minor issues“ is worth to be put into a changelog.

Final words…
Well, I hope you might consider some of my ideas… there is always space for improvements! So, please start to communicate…

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Update 1 (3.4.2014):

A fix for the Miracast issue is included in firmware update version 173.49

Update 2 (4.4.2014):

A statement about the availability of the new firmware including the fix for the Miracast issue has been made.

Sicherheitslücke in 2013er Miracast-Funktion (6xx8–9708) – Update 1

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Jetzt bewerten!)
Loading...

Tachchen,

es gibt eine Sicherheitslücke in der Miracast-Funktion der 2013er TV-Geräte 6xx8 bis 9708 (selbst mit aktueller Firmware 173.46). Es wird empfohlen, Miracast bis zum Erscheinen eines Updates temporär zu deaktivieren:

Wir haben eine Sicherheitslücke in Zusammenhang mit der Miracast-Schnittstelle unserer High-End-Geräte des Jahrgangs 2013 erkannt. Unsere Softwareentwicklung arbeitet an einer Lösung, um diese Lücke zu schließen und so die unbesorgte Nutzung von Wifi Miracast an den genannten TV-Geräten wiederherzustellen. Wir empfehlen unseren Kunden in der Zwischenzeit, die Miracast – Funktion über das TV Menü zu deaktivieren:
TV HOME Menü > [Konfiguration] > [Netzwerkeinstellungen] > [Miracast] > [Aus]

TP Vision als Anbieter von Philips-TV Geräten sieht sich verpflichtet, seinen Konsumenten ein umfangreiches TV-Erlebnis zu bieten. Wir werden Euch über die Verfügbarkeit des Updates zu gegebener Zeit informieren.

Zitat-Quelle: Philips Forum

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Update 1 (3.4.2014):

Es gibt ein Update, was das Problem behebt: Version 173.49.

Philips 2014: Neue Home-Theater-Blu-ray-Systeme

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Jetzt bewerten!)
Loading...

Tachchen,

dieses Jahr gibt es auch wieder neue Home-Theater-Blu-ray-Systeme (HTB-Geräte):

Namenschemata-Erklärungen findet man hier.

Weiterhin werden alle Geräte Miracast unterstützen. Sonst ist noch nichts bekannt zu diesen Geräten.

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)

Philips: Neuer Blu-ray-Player BDP2285/12

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Jetzt bewerten!)
Loading...

Tachchen,

es wird demnächst einen neuen Blu-ray-Player von Philips geben: der BDP2285/12.

Viel ist noch nicht bekannt, außer, dass er wie der BDP9700/12, BDP7750/12, BDP5700/12 und BDP5650/98 auch Miracast unterstützt.

Toengel@Alex

Follow me on Twitter (@PhilipsToengel)