Los piratas informáticos no van a bloquear su nuevo Google Home Hub, pero Google necesita arreglar algunas cosas en lo que respecta a la configuración de seguridad de la red de la pantalla inteligente. Un poco.
Empezó cuando el defensor de la seguridad Jerry Gamblin hizo lo que hace un defensor de la seguridad y escaneó su red local después de conectar su Google Home Hub. Encontró qué puertos de red estaban abiertos y escuchando, y qué probablemente estaban configurados para escuchar.
No soy un experto en seguridad de IOT, pero estoy bastante seguro de que una declaración de curl no autenticada no debería poder reiniciar el @madebygoogle centro de casa. pic.twitter.com/gCWFm5OfybNo soy un experto en seguridad de IOT, pero estoy bastante seguro de que una declaración de curl no autenticada no debería poder reiniciar el @madebygoogle centro de casa. pic.twitter.com/gCWFm5Ofyb—Jerry Gamblin (@JGamblin) 27 de octubre de 201827 de octubre de 2018
Ver más
Para la mayoría de las personas, esto no significa mucho, pero para otras, demuestra que:
- Google Home Hub es un Chromecast avanzado (o un dispositivo Android TV simplificado, elija) y no un dispositivo Android Things como Lenovo Smart Display y otros productos similares.
- Probablemente sea "susceptible" a los mismos tipos de comandos de red que los Chromecast son, como este que forzará una actualización OTA si prefiere no esperar en la fila.
Ya sabíamos que Home Hub no estaba ejecutando el mismo sistema operativo que otras pantallas inteligentes, como Ars Technica informado. Ahora sabemos un poco más sobre qué sistema operativo que está ejecutando y cómo "hablar" con él y hacer que haga cosas.
El Google Home Hub es realmente solo un elegante Chromecast.
Imagínese Android con las cosas necesarias para instalar y ejecutar aplicaciones normales de Android (Dalvik y Bionic si le gustan este tipo de cosas) eliminadas y un DNS DIAL de multidifusión patentado (el Descubrimiento y Lanzamiento protocolo de red desarrollado por Netflix y YouTube) estilo blob binario cayó en su lugar. Si supiera cómo comunicarse con ese software mDNS, como dice el Aplicación Google Home lo hace, podría realizar funciones básicas del dispositivo utilizando una conexión de red de línea de comandos a los puertos abiertos que encontró Gamblin.
¡Eureka! Resulta que puede hablar con esa API "secreta" que utiliza Google Home Hub para comunicarse y todo lo que puede hacer es lento pero seguro siendo documentado.
Esto incluye cosas como forzar un reinicio o incluso un comando remoto de restablecimiento de fábrica. Si bien no es ideal, estos no "bloquearán" su Google Home Hub como hemos visto que se informa, pero podría verse obligado a abrir la aplicación Google Home en un teléfono y volver a conectarse. También es importante recordar que debe estar en la misma red local que Home Hub, para que nadie pueda hacer nada de esto a través de Internet.
Google necesita bloquear las cosas para que solo la aplicación Google Home pueda "hablar" con el Hub.
Google tendrá que encontrar una manera de reprimir esto ahora que se ha alejado de los foros de "hackers" como XDA y se ha convertido en la corriente principal. La aplicación Google Home aún debe poder hacer todo lo que puede hacer ahora, pero se debe implementar una forma de autenticarse con un Home Hub para que otro dispositivo en la red no pueda conectarse.
Si solo quiere que todo funcione, no tiene que alarmarse demasiado a menos que tenga a alguien conectado a su Wi-Fi a quien le guste meterse con las cosas. Si usted es una de esas personas a las que les gusta meterse con las cosas, le recomiendo que lo haga ahora antes de que Google bloquee el acceso remoto a la API no documentada y abierta al público por error.
De cualquier manera, el cielo no se está cayendo y tu Home Hub estará bien.