In de strijd om systemen te infecteren met malware bedenken criminelen steeds vernuftigere methodes waarmee ze de digitale beveiliging om de tuin hopen te leiden. Eén zo’n wapenfeit is het ontwikkelen van zogeheten fileless malware. Wat moet je daarover weten?

Malware evolueert. Criminelen proberen steeds nieuwe methodes te vinden waarop zij virussen kunnen verspreiden, en daarbij lijken zij zeker in de afgelopen jaren een interessante nieuwe manier te hebben ontdekt: malware zonder bestanden, waarbij virussen worden verspreid zonder sporen achter te laten en die alleen werken in het werkgeheugen van een computer. Het is een effectieve methode; om een virus doeltreffend te verspreiden, moet je namelijk vaak beveiligingssoftware zoals antivirus weten te omzeilen. Malware-zonder-bestanden is daar heel erg geschikt voor. ‘Fileless malware’ voert code uit binnen bestaande, vertrouwde computerprocessen, waardoor virusscanners ze al snel als legitiem aanmerken.

Traditionele malware is niet voor niets traditioneel. Al jaren is het de meest gebruikte methode voor de verspreiding van malware om een computersysteem binnen te dringen en een malafide bestand zoals een .dll of .exe te installeren. Dat zet vervolgens een virus op de computer, bijvoorbeeld omdat het een ‘payload’ bevat met daarin de kwaadaardige code die bestanden versleutelt (ransomware) of die persoonlijke gegevens steelt (trojans).

Antivirus wordt echter steeds geavanceerder en kan zulke bestanden steeds makkelijker herkennen. Virusscanners detecteren virussen op basis van handtekeningen (‘signatures’), die worden samengesteld uit een combinatie van factoren zoals gedrag, afkomst of grootte van het bestand, en uit een grote database van bekende malware. Ziet een antivirusprogramma verdachte activiteit met zo’n handtekening, dan wordt die geblokkeerd.

Daarom wordt bestandsloze malware steeds interessanter voor criminelen. Bij deze vorm van malware wordt juist geen bestand op de harde schijf geplaatst, maar verspreidt het virus zich via bestaande systeemfuncties. Een voorbeeld van hoe dat werkt: een slachtoffer krijgt een geïnfecteerd document binnen en schakelt macro’s in. Bij traditionele malware is dat het moment dat een bestand zich op het systeem nestelt en direct code uitvoert, bijvoorbeeld ransomware die bestanden versleutelt.

Als de crimineel in kwestie echter gebruikmaakt van een bestandsloos virus, dan gaat de code op zoek naar bestaande applicaties op het systeem (zoals PowerShell of de commandoprompt) en gebruikt die applicatie om code uit te voeren. Die blijft dan vervolgens alleen in het werkgeheugen van de computer draaien. Vanaf dat moment kan er van alles gebeuren: de malware kan inloggegevens van de computer naar een server sturen, of juist een virus (zoals ransomware) downloaden of zelfs vanaf een andere server uitvoeren.

Volledig en gedeeltelijk

Juist dat laatste aspect maakt het lastig om één enkele definitie op te stellen voor bestandsloze malware, zegt Christiaan Beek. Hij is beveiligingsonderzoeker bij McAfee Security en ziet inderdaad dat deze vorm van cybercrime in opkomst is. Hij wil het graag uitleggen, “maar dan moeten we wel eerst helder hebben wat je onder bestandsloos verstaat”, zegt hij.

Je kunt bijvoorbeeld stellen dat bestandsloze malware überhaupt geen bestanden achterlaat op de harde schijf, maar er zijn vormen van deze malware die dat juist wel doen. Er zijn ook virussen die zelf geen bestanden naar de schijf schrijven, maar die wel bestaande bestanden indirect gebruiken. “Aan het begin van de eeuw verstonden we onder fileless nog ‘alles wat in het geheugen van computers’ draait”, zegt Beek. “Tegenwoordig bedoelen we daarmee meestal malafide bestanden die een script uitvoeren via het werkgeheugen en daarom zelf geen bestanden direct op de computer plaatsen.”

In veel gevallen gaat het bijvoorbeeld om een tussenweg. Dan draait het virus zelf weliswaar via het werkgeheugen, maar wordt de harde schijf op een of andere manier alsnog ingezet. Beek: “Er wordt bijvoorbeeld een tijdelijk bestand gedownload, soms maar heel kort, dat zichzelf automatisch weer verwijdert. Dan zie je dus wel even kort diskactiviteit.” Ook als er met zo’n aanval een payload wordt gedownload met daarin het daadwerkelijke virus, wordt dat alsnog bestandsloos genoemd. Immers, de malware draait volledig in een door Windows vertrouwd proces, en bevat uit zichzelf geen payload.

©PXimport

Via die scripts wordt gebruikgemaakt van bestaande processen, programma’s en bestanden die al op de computer staan. Ze installeren dus zelf niks, maar voeren de code uit via bijvoorbeeld PowerShell of Windows Management Instrumentation (WMI), een andere tool die veel rechten heeft binnen Windows. In de beveiligingswereld wordt dat proces ook wel ‘living off the land’ genoemd; gebruikmaken van wat er beschikbaar is, in dit geval op een systeem. Om die reden kan bestandsloze malware heel klein zijn. “Soms gaat het om slechts vijf of zes regels code die in een macro verstopt zit. Het is niet echt raketwetenschap”, zegt Beek.

De ironie is dat bestandsloze malware alleen actief is en schade kan veroorzaken zolang een computer draait. Start je het systeem opnieuw op, dan wordt het werkgeheugen gewist en daarmee ook de malware. Dus ook om deze vorm van malware tegen te gaan, werkt het bekende ‘Have you tried turning it off and on again’ perfect. “Het probleem is alleen dat bijna niemand zijn computer tegenwoordig nog opnieuw opstart”, zegt Beek. Hij ziet dat vaak gebeuren in bijvoorbeeld bedrijven waar het dikwijls makkelijker is om een computer in de slaapstand te zetten dan helemaal opnieuw op te starten.

Oud probleem

De aanvalsmethode is niet bepaald zo oud als de weg naar Rome, maar gaat in de geschiedenis van computers wél erg lang terug. Maar de laatste jaren ziet Beek de trend van bestandsloze malware sterk opkomen, met name in het bedrijfsleven. “Er is een grote stijging te zien, zeker in het afgelopen jaar. Dat is begonnen in de hoek van landen die hackaanvallen uitvoeren.” Inmiddels, zegt hij, gebruiken ook ‘gewone’ criminelen de methode.

Dat komt doordat bestandsloze malware geen op zichzelf staande categorie malware is. Het is slechts een van de vele methodes waarop digitale criminelen hun zaken doen en waarmee zij hopen onopgemerkt te blijven. En als zo’n methode effectief blijkt, wordt die steeds vaker gebruikt. Daarom komt bestandsloze malware over het hele spectrum van cybercrime voor: in ransomwareaanvallen, cryptojacking, trojans die logins stelen en in overheidshacks.

Daarom ziet Beek wat veel andere beveiligingsbedrijven ook zien. Sinds 2017 is een duidelijke trend zichtbaar, waarbij steeds meer slachtoffers vallen. Onderzoek van het Ponemon Institute naar 665 ict-bedrijven toonde bijvoorbeeld een stijging van 30 procent aan in het aantal besmettingen met bestandsloze malware in 2018 ten opzichte van het jaar daarvoor. Ook Microsoft waarschuwde in 2018 voor de opkomst van de nieuwe vorm van infectie en kondigde nieuwe veranderingen aan voor Windows Defender om daarmee om te gaan. Cijfers verschillen per rapport, omdat verschillende bedrijven verschillende metingen doen. Maar één ding is duidelijk: de lijn stijgt.

Opvallend is dat het voornamelijk bedrijven zijn die getroffen worden door bestandsloze malware. “De impact voor consumenten is veel lager”, zegt Beek. “Als je een exploit hebt ontdekt, kun je in een bedrijfsomgeving veel meer bereiken met een infectie. Je kunt dan veel meer computers tegelijkertijd bereiken.”

PowerShell en WMI

Er zijn meerdere methodes om een bestandsloze aanval uit te voeren, zoals Beek eerder al uitlegde. Maar wat je vaak ziet, is dat een bestaand onderdeel van Windows wordt misbruikt om die code uit te voeren. Eén tool komt daarbij heel prominent naar voren in de strijd tegen bestandsloze malware. “PowerShell-aanvallen komen heel vaak voor”, zegt Beek. “Een aanval bestaat dan vaak uit een Base64-decode. Of er wordt een spatie geplaatst in een http-string in de code, zodat die niet opvalt als hyperlink.” Op die manier verhult de code voor virusscanners wat er precies gebeurt. Als PowerShell ineens contact legt met een server is dat namelijk al snel vreemd en verdacht, maar als je die code eerst verbergt valt dat wel mee.

©PXimport

Naast PowerShell is ook Windows Management Instrumentation (WMI) populair. Het zijn tools die toegang hebben tot diepgaande onderdelen van het Windows-ecosysteem en die dus veel zwakheden in het OS kunnen misbruiken. En, ook handig, het zijn tools die op elke Windows-computer staan. Dat maakt het überhaupt al heel makkelijk om zulke virussen in elkaar te knutselen, want ze kunnen op vrijwel elke geïnfecteerde pc toeslaan. Voor PowerShell geldt bovendien dat het in het bedrijfsleven nagenoeg onmisbaar is, voegt Beek toe.

Macro’s in Word-documenten

Het mag allemaal best geavanceerd klinken, maar zo geraffineerd hoeft een aanval niet te zijn om een systeem te infecteren. In de meeste gevallen gaat het om behoorlijk generieke aanvallen, zegt Beek. “Dat zijn aanvallen die gewoon via een document met een macro worden uitgevoerd.”

Voor wie op de hoogte is van cybercrime zal de aanvalsmethode bekend voorkomen. Een aanvaller stuurt een document per e-mail naar een potentieel slachtoffer. Als die het document opent lijkt het leeg, maar, zo staat er, de tekst wordt leesbaar als er macro’s worden ingeschakeld. Het virus zit in die macro’s en kan dan al snel toeslaan. De methode is effectief. “Hele volksstammen klikken erop”, zegt Beek. “Ik vermoed dat het in 80 tot 90 procent van de aanvallen om zo’n aanval met een document met macro’s gaat.”

Wel zien beveiligingsbedrijven tegelijkertijd een toename in aanvallen via RDP (Remote Desktop Protocol). Daarmee kunnen computers op afstand worden bestuurd, wat vooral in bedrijven veel voorkomt.

Naast macro-aanvallen via phishing volgt de opkomst van bestandsloze malware ook andere trends op het gebied van malwareontwikkeling. Malvertising is bijvoorbeeld een methode die nog af en toe wordt gespot. Daarbij wordt malware verspreid via een geïnfecteerd advertentienetwerk. Malvertising komt wel steeds minder voor, omdat steeds meer internetgebruikers een adblocker gebruiken en omdat websites in toenemende mate beter toezicht houden op de websites die zij tonen.

©PXimport

Ransomware en cryptojacking

Bestandsloze infecties komen voor over het hele spectrum van cybercrime. Het is niet voorbehouden aan één soort virus, dus het wordt niet alleen gebruikt om bijvoorbeeld ransomware te versturen. Beek: “Je ziet dat fileless malware in het begin vooral groot was bij wat we ‘nation states’ noemen, staatshackers die namens een land ergens een aanval uitvoeren. Aanvankelijk gebeurde dat voor spionage, inmiddels ook steeds vaker voor sabotage.” WannaCry en (Not)Petya zijn voorbeelden van zulke sabotagemalware, al is het niet zeker dat in al die gevallen bestandsloze malware werd gebruikt.

Er zijn wel gevallen bekend van ransomwareaanvallen waarbij een bestandsloze infectie de oorzaak was. Begin dit jaar ontdekten beveiligingsbedrijven zoals McAfee bijvoorbeeld de Anatova-ransomware die de methode inzette, en in 2017 en 2018 werd een dergelijke infectie ook al gebruikt om een cryptominingaanval op te zetten tegen bedrijven. Maar de aanvallen gaan nog langer terug: in 2003 werd de Slammer-worm ontdekt die SQL-injecties via het werkgeheugen uitvoerde.

Een ander bekend voorbeeld is Kovter, een zogenaamd scareware-politievirus. Het virus begon als een grote pop-up die werd geactiveerd als een gebruiker bestanden downloadde. De pop-up leek afkomstig van de politie en maande gebruikers een boete te betalen voor het downloaden, meestal in bitcoins of cadeaukaarten. Het lijkt qua werking veel op het Ukash-politievirus dat in 2012 en 2013 rondging. Onderzoekers van Trend Micro ontdekten dat de malware een paar jaar geleden evolueerde en bestandsloos werd. Beek: “Bestandsloze virussen zijn slechts een manier om een aanval te maskeren.” Wat voor aanval dat dan precies is, is minder belangrijk; het kan alles zijn waarvoor je een virus zou inzetten.

Opsporen

Dat maakt het veel lastiger om zulke malware te detecteren. Traditionele antivirus probeert malware tegen te houden op basis van inhoud: wat zit er in een bestand of een datapakketje, en is dat bekend of verdacht? Bij bestandsloze malware is het veel belangrijker naar gedrag te kijken, zegt Beek. “Je stelt dan de vraag: ‘Klopt dit gedrag wel? Is dit logisch?’ Als je bijvoorbeeld ziet dat iemand een e-mail opent, dat een minuut later PowerShell wordt geopend en daarna internetverkeer naar buiten gaat, dan is dat natuurlijk verdacht.” Beveiligingsbedrijven zien veel heil in machine learning, dat steeds beter wordt in het detecteren van zulk verdacht gedrag.

Bestandsloze malware brengt een extra probleem met zich mee. Omdat er niets op de harde schijf wordt geplaatst, is het in veel gevallen ook lastig om achteraf aan opsporing en identificatie te doen.

“Het is sowieso al een probleem dat een computer aan moet blijven staan, voordat je die gaat onderzoeken”, zegt Beek. En hoewel veel gewone gebruikers hun computers lang niet altijd afsluiten, is dat wel een van de eerste dingen die een systeembeheerder doet als hij verdachte activiteit spot.

Dat maakt het volgens Beek ook heel moeilijk om specifieke daders aan te wijzen. “Attributie, zoals we dat noemen, is soms erg lastig. Zeker als iemand alleen scripts uitvoert via PowerShell, dan is het heel moeilijk te achterhalen wie zo’n aanval heeft uitgevoerd. Misschien kun je wel wat sporen vinden op de machine zelf, zoals event logs, maar je bent altijd afhankelijk van de context.” Daarmee doelt hij vooral op andere activiteit op de machine die mogelijk iets kan zeggen over een aanval of over andere apparaten op het netwerk waar meer informatie te vinden is over een aanval.

Net zoals bij andere soorten malware spelen hackers ook in dit geval een kat-en-muisspel met onderzoekers en malwarebestrijders. “Criminelen doen steeds meer moeite om lagen van obfuscatie toe te voegen, manieren om malware te verbergen voor scanners. Op die manier kunnen ook nieuwe technologieën zoals machine learning ze niet zomaar meer detecteren. Het blijft een spel.” Ondertussen blijft het advies van kracht dat beveiligingsexperts bij elke nieuwe dreiging herhalen: update systemen, open geen vreemde links of documenten, en denk logisch na voor je iets opent.

Parkeerautomaten en laadpalen voor elektrische auto's zijn steeds vaker doelwit van fraudeurs. Ze plakken een sticker met een valse QR-code op het scherm of naast het betaalgedeelte. Wie de code scant, komt terecht op een nagemaakte website die vraagt om bankgegevens of een betaling. In werkelijkheid belandt het geld niet bij de gemeente of de exploitant, maar bij criminelen.

Van Amsterdam tot Maastricht, van Alphen aan den Rijn en Rotterdam tot Den Haag: valse QR-codes duiken steeds vaker op. Quishing, zoals deze relatief nieuwe vorm van oplichting wordt genoemd, kan je behoorlijk wat geld kosten. Met de tips in dit artikel voorkom je dat jij slachtoffer wordt.

Hoe fraudeurs te werk gaan

Een valse QR-code is vaak simpelweg een sticker die over de originele code of op een lege plek is geplakt. Op het eerste gezicht lijkt de code onderdeel van de automaat. Zodra je de code scant, opent er een website die qua logo en opmaak sterk lijkt op die van een parkeer- of laadpaalexploitant. Het verschil zit in de details: de url wijkt af, de site vraagt direct om bankinloggegevens of je wordt doorgestuurd naar een betaalpagina die niets met de gemeente of betreffende exploitant te maken heeft.

In het Verenigd Koninkrijk en Nederland zijn al meerdere meldingen gedaan. Sommige slachtoffers verloren tientallen euro's aan parkeergeld, anderen werden geconfronteerd met grotere bedragen die van hun rekening verdwenen.

Zo herken je een valse QR-code

Let altijd goed op de fysieke code. Ziet het eruit als een losse sticker, scheef geplakt of met een afwijkende kleur? Dan is de kans groot dat het om fraude gaat. Controleer daarnaast de link die verschijnt zodra je scant. Een betrouwbare url verwijst naar een bekende aanbieder, zoals de website van de gemeente of een erkende parkeerapp. Zie je rare domeinnamen of spelfouten, ga dan niet verder maar klik de pagina meteen weg. Belangrijk om te weten: dat een link met https:// begint is tegenwoordig geen garantie meer dat het om een veilige site gaat. Wij hebben als test de valse QR-code op de foto gescand (don't try this at home!) en de link begint met https://...

Nog beter is het om QR-codes helemaal te vermijden bij dit soort betalingen. Gemeenten en aanbieders van laadpalen en parkeerautomaten adviseren om te betalen via de automaat zelf of via een officiële app, zoals EasyPark of ParkMobile. Zo weet je zeker dat je geld op de juiste plek terechtkomt.

Wat kun je zelf doen?

Betaal je via een app of met pin, dan loop je geen risico op quishing. Zie je toch een verdachte QR-code, meld dit dan bij de gemeente of politie, zodat de sticker snel verwijderd kan worden. Twijfel je aan een website, gebruik dan een controletool zoals 'Check je linkje' waarmee je vooraf kunt zien waar een QR-code naartoe leidt.

Nog niet zo lang geleden was miniled-technologie voorbehouden aan de luxere midrange-modellen en hoger. Maar zoals dat nu eenmaal gaat is ook deze technologie na een aantal jaren beschikbaar op goedkopere modellen. Hoe zit het dan met de kwaliteit?

8,9

Uitstekend

Conclusie

TCL’s 55C6K is een heel interessante instapper. De adviesprijs ligt te hoog, zeker naast de betere C7K, maar gelukkig is de tv her en der al voor veel minder te krijgen. Met 180 zones schieten de piekhelderheid en het contrast iets tekort, en HDR blijft ook een beetje achter. Toch levert de tv in SDR mooie kleuren en prima kalibratie in Filmmaker- en Movie-modus. Het toestel maakt daarnaast gebruik van Google TV en levert goede gaming-features.

Plus- en minpunten

• Achtergrondverlichting met 180 zones en degelijk contrast
• Voldoende piekhelderheid en degelijk kleurbereik
• Ondersteuning voor Dolby Vision IQ en HDR10+
• Twee HDMI 2.1-aansluitingen met gaming-features
• Filmmaker Mode en Movie Mode met goede kalibratie
• Google TV en AirPlay 2

• HDR-dynamische tonemapping vermindert het contrast
• eARC/ARC neemt een 48-Gbps HDMI-poort in
• Beperkte kijkhoek

Een eenvoudig ontwerp hoeft niet lelijk te zijn, iets wat de C6K goed laat zien. De vleugelvoeten links en rechts onder deze televisie zijn licht naar buiten gedraaid en dat zorgt ervoor dat hij erg stabiel staat. Aan de voorzijde heeft het scherm nauwelijks een kader; de focus ligt op het beeld. Van opzij gemeten is hij 56 mm diep. Door de licht afgeschuinde zijkanten en de smalle zilverkleurige rand oogt hij zelfs nog slanker. De rug is mooi vlak en afgewerkt met een vierkantpatroon.

Aansluitingen

TCL kiest voor een minimale set aan aansluitingen, een eigenschap die we bij al hun miniled-modellen zien. Er zijn vier HDMI-poorten, waarvan twee voorzien zijn van de maximale 48Gbit/s-bandbreedte die noodzakelijk is voor gamen in 4K120 op je favoriete high-end console. Voor pc-gamers is er nog wat extra mogelijk. Zij kunnen in 4K144Hz gamen, of als je framerate belangrijker vindt dan resolutie kunnen ze zelfs tot 2K288Hz gaan. Met een input-lag van 16,8 ms (bij 4K60) en 8,4 ms (bij 2K120), ondersteuning voor ALLM en VRR (AMD FreeSync en NVIDIA G-Sync Compatible) is een responsieve en uiterst vloeiende game-ervaring gegarandeerd.

Heb je thuis meerdere high-end gamebronnen én een soundbar, dan moet je er wel rekening mee houden dat ARC/eARC slechts op één van de 48Gbit/s-poorten is ingeschakeld, en je dus maar één dergelijke poort overhoudt voor je game-apparaten. Behalve de HDMI-poorten zijn er nog een usb-poort voor media, een digitaal optische audio-uitgang, twee antenne-aansluitingen, wifi 5, ethernet en bluetooth (voor de afstandsbediening en draadloze hoofdtelefoons). 

Voorzien van Google TV

Zijn er bepaalde apps die je absoluut niet wilt missen op je smart-tv? Dan is Google TV een uitstekende keuze. Het systeem heeft het ruimste app-aanbod en je vindt er bijna alle internationale, maar ook lokale streamingdiensten terug. Google Cast en Apple AirPlay 2 maken het supermakkelijk om content van je smartphone naar de tv te sturen. Aanbevelingen krijg je eveneens in overvloed. Ze zijn geordend per genre, niet per streamingdienst. De genres die Google je toont, zijn gebaseerd op je kijkgedrag. Meer over Google TV lees je in dit artikel.

TCL biedt verder een energiedashboard waarin je alle instellingen terugvindt die het energieverbruik van je tv kunnen beïnvloeden. Wil je de tv gebruiken als kunstkader, dan open je T-exhibition; daar vind je niet alleen een ruim aanbod kunst, je kunt er ook AI-kunst genereren. TCL Channels biedt gratis streaming-content, mét advertenties uiteraard. De Google TV-interface werkt vlot en de gebruikservaring is prima. Ook als je even in de instellingen wilt duiken of een andere input wilt selecteren heeft TCL voor een handige interface gezorgd.

De zwarte rechthoekige afstandsbediening wint geen prijs voor innovatie, maar werkt wel prima. De toetsen voelen zacht aan en hebben een zuivere aanslag. De lay-out is redelijk klassiek en er is nog een numeriek toetsenbord aanwezig. De ingebouwde microfoon is handig voor zoekopdrachten. Onderaan de afstandsbediening zijn zes sneltoetsen te vinden: voor Netflix, Prime Video, YouTube, de mediaspeler, TCL Channels en Disney+. 

Prima beeldverwerking

De AiPQ Pro-processor die je in de C6K vindt, gebruikt TCL ook in zijn hoger geplaatste modellen. Dat is goed nieuws, want je hoeft dus niets in te leveren op dit vlak en de resultaten zijn erg goed. Wat ons vooral opvalt, is dat HDR-content met zachte kleurgradiënten nu quasi-foutloos en zonder kleurstroken op het scherm verschijnt. Je hoeft daarvoor zelfs geen ruisonderdrukking te activeren. In SDR-content kan dat verschijnsel wel nog zichtbaar zijn, maar met wat lichte ruisonderdrukking worden de meeste hinderlijke kleurstroken weggewerkt. Alleen heel lastige gevallen blijven licht zichtbaar. De processor scoort ook erg goed op deinterlacing van live-tv (1080i) en heeft prima upscaling. Een klein beetje extra scherpte (tot maximaal 5) kan het beeld wel gebruiken.

Voor sport en games is bewegingsscherpte erg belangrijk, en die is prima. De randen van bewegende voorwerpen hebben een heel licht vage rand. Oledmodellen blijven wel uitgesproken beter op dit vlak. Wie dat wil verbeteren, kan overschakelen naar een 240Hz-verversingssnelheid. Bij 4K-beeldmateriaal gaat dat ten koste van wat verticale resolutie, maar het verlies is erg klein. Gamers kunnen in Full-HD zelfs tot 288 Hz gaan. Voor film zien we weinig meerwaarde. Wil je de judder van films wat intomen, dan activeer je de motion interpolation; stel de sterkte in naar eigen smaak. 

©TCL

Zijn 180 dimmingzones voldoende?

Het grote voordeel van miniled-achtergrondverlichtingen is dat ze een groot aantal dimmingzones kunnen bieden. Die zijn essentieel om het contrast van de televisie naar een hoger niveau te tillen. De 55C6K moet het echter stellen met 180 zones (18 x 10). Dat is een flinke downgrade ten opzichte van de 55C7K, die kan uitpakken met 720 zones (36 x 20). Het lcd-paneel zelf heeft een eigen contrast van ongeveer 4600:1, en dat is weliswaar iets lager dan wat we bij andere TCL-modellen zagen, maar zeker niet slecht. Met local dimming geactiveerd stijgt het contrast naar 8400:1, een bescheiden verbetering.

Op een eenvoudiger test scoort hij nog 27.800:1. Die cijfers laten zien dat dat 180 zones wel verbetering leveren, ook al is die aan de kleine kant. Maar het echte verschil zien we in allerlei testfragmenten. Is het beeld donker en zijn er veel kleinere lichtpunten, dan is er meer schaduwdetail zichtbaar dan wenselijk omdat de grote zones het contrast niet fijn genoeg kunnen controleren. Een snel bewegend voorwerp kan dan ook een kleine zone-overgang tonen.

We moeten daar wel bij vermelden dat de aansturing erg goed is; echte zonegrenzen zijn onzichtbaar, maar een incidentele halo is uiteraard niet te vermijden. Al die zaken zijn vooral van belang bij donkere beelden. Bij heldere beelden zien we dan weer een omgekeerd effect. Een donkere partij met scherp detail in een verder helder beeld is iets te helder en verliest zo wat detail. Dat effect is duidelijker in HDR. Al met al nog steeds een behoorlijk resultaat, maar van 180 zones mag je geen oledkwaliteit contrast verwachten. 

Bescheiden piekhelderheid

Ook op het gebied van piekhelderheid kan de C6K maar nauwelijks overtuigen. Op het 10%-venster in HDR Filmmaker Mode meten we 688 nits, op het volledig witte scherm 547 nits. TCL heeft de tv zo getuned dat hij op het 50%-venster nog naar 844 nits gaat. Dat zijn voor HDR eerder bescheiden resultaten, zeker aangezien de Filmmaker Mode de middentinten en helderste tinten te donker toont. Het kleurbereik haalt 88,5% P3. De C6K claimt een QLED-model te zijn, maar onze meting duidt eerder op een KSF-fosfor-achtergrondverlichting waarbij vermoedelijk erg weinig of geen quantum dots aanwezig zijn. Die QLED-vermelding zou TCL dan ook beter achterwege laten. Vergelijk die resultaten met de C7K (die wél echte quantum dots gebruikt) waar we 95% P3 halen en een piekhelderheid van 1850 nits op het 10%-venster, en je ziet dat het verschil groot is.

De C6K ondersteunt Dolby Vision IQ en HDR10+, naast HDR10 en HLG. In HDR Filmmaker Mode zijn niet alleen de helderste tinten te donker, de tv clipt ook wat witdetail weg, waardoor nuance in de helderste tinten kan verdwijnen. We activeerden dynamische tonemapping om dat tegen te gaan, maar dat maakt het beeld over het algemeen te helder, waardoor je minder contrastrijk beeld ziet. In SDR is het resultaat erg goed: de Filmmaker Mode levert een goede kalibratie, dus daar zie je de C6K op zijn best. Zowel in HDR als SDR was het schaduwdetail goed zichtbaar. 

Matige audio

De 40 watt sterke 2.1-audioconfiguratie met het label van Onkyo mag dan wel iets krachtiger zijn dan de gemiddelde lagere-middenklasser, toch laat het geen diepe indruk achter. Er is ondersteuning voor Dolby Atmos en DTS:X, maar onze filmsoundtracks geven maar een matig tot erg beperkt surroundgevoel. Echte diepe bassen ontbreken, en zodra je het volume echt hoog zet, verdwijnt een deel van de bas en hoor je redelijk wat vervorming. De klank is goed genoeg voor doorsnee dagelijks gebruik, maar muziek- en filmliefhebbers kunnen beter een soundbar bij deze televisie gebruiken.

Conclusie

TCL pakt erg graag uit met zijn miniled-modellen, maar deze instapper maakt toch een aantal belangrijke compromissen. Dat leidt onmiddellijk tot zijn belangrijkste minpunt: de adviesprijs. Die is te hoog, zeker wanneer je die vergelijkt met de TCL C7K die nauwelijks duurder, maar wel aanmerkelijk beter is. De dynamische tonemapping van TCL kan beter, zeker gezien de basisprestaties. Met 180 zones kan hij immers geen hoge piekhelderheid leveren en ook geen indrukwekkend contrast. In HDR blijft hij daardoor wat achter, en de dynamische tonemapping maakt niet genoeg goed. Als we erg streng zijn, komt dat vooral omdat de andere miniled-modellen van TCL juist wél zo goed scoren. Maar eerlijk is eerlijk: deze TCL 55C6K levert nog prima prestaties, met mooie kleuren en voldoende piekhelderheid en contrast. De Filmmaker en Movie Mode zijn goed gekalibreerd en zeker in SDR is dat een mooie prestatie. Google TV zorgt voor een ruim entertainmentaanbod en er zijn aardig wat gaming-features. Kun je deze televisie met een mooie korting vinden, dan is hij zeker het overwegen waard!