Wer Aktivitäten im Netz verschleiern oder Server über Anfragenbombardement (DDoS) in die Knie zwingen will, benötigt dafür eine Vielzahl netzwerkfähiger Geräte, welche er unauffällig aus der Ferne kontrollieren kann. Dafür werden Sicherheitslücken weitverbreiteter Betriebssysteme genutzt, um Schadcode in Rechner, Router oder Set-Top-Boxen einzuschleusen. Chinesische Sicherheitsforscher haben jetzt ein solches Netzwerk entdeckt, das sie Vo1d getauft haben. Es besteht aus Fernsehern, welche mit Android TV betrieben werden. Zeitweise konnten 1,6 Millionen Geräte identifiziert werden, die mit dem Netzwerk verbunden waren.


Durchschnittlich sind davon etwa 800.000 Geräte täglich mit dem Botnetz verbunden. Ein Viertel der kompromittierten Fernseher befindet sich in Brasilien, auch Südafrika (13,6 %) und Indonesien (10,5 %) haben hohe Anteile. Mit einem Anteil von gut zwei Prozent ist Deutschland auf Platz neun der Länder mit betroffenen Smart-TVs. Die Nutzung sei hauptsächlich kommerzieller Art, analysiert das XLab-Team: Mit den Geräten würden hohe Besuchszahlen (etwa auf Websites oder Social-Media-Profilen) vorgetäuscht und massenhafte Interaktionen mit Werbeanzeigen simuliert (Ad Fraud). Zudem verschleierten kompromittierte Smart-TVs die Herkunft von Zugriffen auf Webseiten, indem Smart-TVs als Zwischenwirt (Proxy) dienten.


Dunkelziffer wahrscheinlich hoch
Während der seit November 2024 laufenden Erforschung des riesigen Bot-Netzwerks entdeckten die Forscher auffällige Zugewinne und Verluste ganzer Kontingente: Zwischenzeitlich wuchs die Zahl der Geräte um eine sechsstellige Zahl, um eine Woche später ebenso viele wieder zu verlieren. Zum großen Teil ließ sich diese Zahl auf indische Smart-TVs zurückführen. Die Forscher vermuten, dass Teile des Botnetzes gelegentlich abgekoppelt werden, um Auftragsarbeiten auszuführen. Sie schlussfolgern, dass der tatsächliche Umfang des Netzwerks noch weitaus größer sein dürfte.

Internet der (ungepatchten) Dinge
Botnetze solcher Größe profitieren davon, dass Geräte mit Sicherheitslücken mit dem Internet verbunden sind. Besitzern von Smart-TVs ist oftmals nicht bewusst, dass sie ihr Gerät regelmäßig mit Sicherheitsupdates versehen müssten; zudem zeigen viele Hersteller von Fernsehern wenig Initiative, Aktualisierungen zeitnah auszuspielen (wenn überhaupt). Die beste Methode, dieses Problem zu umgehen, stellt eine Trennung des Smart-TVs von Internet dar. Online-Inhalte sollten stattdessen von einem per HDMI angeschlossenen Gerät stammen, welches stets aktualisiert wird, etwa einem Chromecast-Stick, einem Raspberry Pi mit Mediacenter-Software wie Plex oder OSMC – oder einem Apple TV.