HBBTV und die Datensammelwut – Wie Sender Tracking und Cookies einsetzen - Prof. Dr. Norbert Pohlmann

HBBTV und die Datensammelwut – Wie Sender Tracking und Cookies einsetzen

C. Böttger, N. Demir, Norbert Pohlmann (Institut für Internet-Sicherheit), T. Urban:
„HBBTV und die Datensammelwut – Wie Sender Tracking und Cookies einsetzen“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz,
DATAKONTEXT-Fachverlag, 4/2024

HBBTV und die Datensammelwut
Hybrid HbbTV hat sich zu einer beliebten Möglichkeit entwickelt, traditionelles Fernsehen mit internetbasierten Inhalten zu kombinieren. Die Technologie wirft jedoch auch Bedenken hinsichtlich des Schutzes der Privatsphäre der Nutzer auf. Eine Studie hat nun untersucht, wie Daten gesammelt und Nutzer getrackt werden – mit alarmierenden Ergebnissen.

Trotz der wachsenden Beliebtheit moderner Streaming-Dienste ist das Fernsehen nach wie vor ein wichtiges Kommunikations- und Unterhaltungsmedium. Seit der Einführung des HbbTV-Standards im Jahr 2006 hat sich das traditionelle lineare Fernsehen stark weiterentwickelt. Hybrid Broadcast Broadband TV (HbbTV) kombiniert klassisches Fernsehen mit On-Demand-HTML5-Inhalten. Die Technologie, die eine Internetverbindung voraussetzt, bietet zusätzliche Funktionen wie Hintergrundinformationen zu Sendungen und den Zugang zu Mediatheken. HbbTV hat sich vor allem in Europa und besonders in Deutschland etabliert.

HbbTV wirft jedoch auch Fragen der Sicherheit und des Datenschutzes auf. Die Nutzung dieser Technologie ermöglicht es den Kanalbetreibern, Informationen über ihre Zuschauer zu sammeln und zu verfolgen, was zur Erstellung detaillierter „Zuschauerprofile“ führt. In der Europäischen Union sind die Anbieter verpflichtet, Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten, um die Privatsphäre der Nutzerinnen und Nutzer zu schützen.

Obwohl sich frühere Studien mit den Sicherheits- und Datenschutzaspekten von HbbTV befasst haben, wurden das HbbTV-Tracking-Ökosystem und die damit verbundenen Datenschutzfragen bisher kaum umfassend untersucht. Eine groß angelegte Untersuchung von 391 europäischen HbbTV-Kanälen hat nun herausgefunden, wie Daten gesammelt und Nutzerinnen und Nutzer getrackt werden. Darüber hinaus wurden die Datenschutzrichtlinien bewertet und die Einwilligungserklärungen analysiert.

Das Mess-Framework
Die Studie erforderte eine präzise und sorgfältig konzipierte Messinfrastruktur – Abbildung 1 stellt einen Überblick über den verwendeten Versuchsaufbau dar. Für die Untersuchung wurde ein LG 43UK6300 LLB-Fernseher mit HbbTV-Unterstützung verwendet, der mit dem RootMyTV 2.0 Rootkit [8] gerootet wurde. Das ermöglichte die Installation eines Zertifikats im Zertifikatsspeicher des Fernsehers, um TLS-geschützten Netzwerkverkehr abzufangen und zu entschlüsseln. Mit der aktualisierten Version der LG-Firmware funktioniert dieses Rootkit allerdings nicht mehr.

Als Analysegerät diente ein Desktop-Computer, der den Fernseher über einen Wi-Fi-Hotspot mit dem Internet verband. Mit dem HTTP(S)-Proxy mitmproxy (Version 9.0) [1] ließ sich dann der HTTP(S)-Verkehr abfangen. Das Proxy-Zertifikat wurde auf dem gerooteten TV-Gerät installiert, sodass die Forscher den größten Teil des HbbTV-Datenverkehrs entschlüsseln konnten. Aufgrund der fehlenden Zertifikatsvalidierung durch die analysierten Sender war es möglich, den gesamten HTTP(S)-Verkehr zu erfassen. Zusätzlich wurde die webOS TV Developer API [4] verwendet, um Informationen über den aktuellen Sender zu sammeln und Screenshots der angezeigten Inhalte zu erstellen. Auch Daten aus dem Cookie-Speicher und dem lokalen Speicher des Fernsehers wurden erfasst.

Der Fernsehempfang erfolgte über eine Parabolantenne, die Signale von drei Satelliten empfing: Astra 1L (19,2°O), Hot Bird 13E (13,0°O) und Eutelsat 16,0°O. Diese ermöglichten den Empfang von Fernsehsendern aus verschiedenen europäischen Ländern, wobei der physische Standort der Studie in Deutschland war.

Das anfänglich empfangene Signal umfasste 3.575 Sender. Viele davon waren jedoch ungeeignet, da sie entweder keine Programme ausstrahlten, verschlüsselt waren oder Radiosender darstellten. Am Ende des Filterprozesses verblieben 391 Fernsehsender.

Das „Fernbedienungsskript“ implementierte fünf Profile, die verschiedene Benutzerinteraktionen mit dem Fernseher simulierten, um unterschiedliche HbbTV-Anwendungen für jeden Kanal auszulösen.

Profil ohne simulierte Benutzerinteraktion (General): Beobachtete jeden Kanal 900 Sekunden lang ohne weitere Interaktionen.
Farbtasten-Profile (Rot, Blau, Gelb und Grün): Jedes Profil beinhaltete geskriptete Interaktionen mit der jeweiligen farbigen Taste. Nach dem Kanalwechsel wartete das Skript 10 Sekunden und drückte dann die jeweilige Farbtaste. Anschließend wurden zufällig Navigationsknöpfe gedrückt, um mit dem möglicherweise geladenen neuen Inhalt zu interagieren.

Diese detaillierte und methodische Herangehensweise ermöglichte eine umfassende Erfassung und Analyse des HbbTV-Datenverkehrs und der damit verbundenen Datenschutzpraktiken.

Ergebnisse: Tracking und 1700 Cookies
Die Messungen ergaben, dass 1.705 verschiedene Cookies über HTTP(S) gesetzt wurden. Durchschnittlich wurden pro Kanal 4,1 Cookies gesetzt, wobei 166 unterschiedliche Drittanbieter beteiligt waren. Bemerkenswert ist, dass nur 20,5 Prozent der Cookies von Cookiepedia klassifiziert werden konnten, was darauf hindeutet, dass sich das HbbTV-Ökosystem stark vom Web-Ökosystem unterscheidet.

Verbreitung von Third-Party-Cookies
Cookies von Drittanbietern sind im HbbTV-Ökosystem mit durchschnittlich 3,1 Cookies pro Kanal weit verbreitet. Eine signifikante Anzahl dieser Cookies wird für Trackingzwecke verwendet. Die häufigste Third-Party-Domain war xiti.com, die auf 119 Kanälen beobachtet wurde. Insgesamt zeigen die Ergebnisse, dass HbbTV-Kanäle häufig auf Third-Party-Dienste und Cookies zurückgreifen, was auf umfangreiche Tracking-Praktiken hindeutet. Nur 25 Drittparteien wurden auf mehr als zehn Kanälen verwendet, was auf ein verstreutes Third-Party-Cookie-Ökosystem hinweist, im Gegensatz zum Web, das von wenigen großen Akteuren dominiert wird.

…

kostenlos downloaden