In Hotels und Ferienwohnungen besteht oft die Möglichkeit, sich in ein mit dem Fernseher verbundenes Android TV-Gerät einzuloggen, um Medieninhalte dort basierend auf den eigenen Präferenzen zu genießen. Doch davon ist stark abzuraten, wie aktuell Medien wie Androidpolice, The Verge und 404 Media berichten. Anlass dafür ist ein vom Youtuber Cameron Gray veröffentlichtes Video, laut dem mit einfachen Mitteln auf Daten zugegriffen werden kann, die mit dem zum Log-In verwendeten Google-Account verbunden sind.

Basis für das Sicherheitsproblem ist, dass das System automatisch einen Log-In bei diversen Google-Diensten durchführt, sobald Menschen sich mit ihrem Account einwählen. Dadurch ist es Angreifern möglich, auf in Gmail gespeicherte Mails oder in Google Drive gespeicherte Dateien zuzugreifen.

Nötig ist dafür ein physischer Zugang zum Gerät, um dort manuell den Browser Chrome zu installieren, mit welchem die genannten Dienste aufgerufen werden können. Von Haus ist die Installation von Chrome auf Android TV nicht erlaubt, Gray zeigt im Video jedoch einen Workaround: er installiert zunächst einen anderen Browser namens "TV Bro", mit dem er Chrome als APK-Datei herunterladen und anschließend problemlos installieren kann.

Fehler wird behoben

Gegenüber 404 Media gibt Google bekannt, dass der Fehler nun behoben werde. Bei aktuellen Geräten bestehe die Sicherheitslücke nicht mehr, an weitere Geräte werden nun entsprechende Updates ausgespielt. Geraten wird aus Sicherheitsperspektive, die eigenen Geräte immer zu aktualisieren. Dass der Gastgeber in der Ferienwohnung das entsprechende Update installiert hat, kann freilich nicht garantiert werden.

Vorsicht dürfte auch geboten sein, wenn alte Android-TV-Geräte aus dem Privat- oder Firmenumfeld entsorgt oder weiterverkauft werden. Unter anderem wird in den Medienberichten auch geraten, für die Nutzung der besagten Geräte einen separaten Google-Account anzulegen. (stm, 28.4.2024)