A hackerek nem fogják megakasztani az új Google Home Hubot, de a Google-nak ki kell javítania néhány dolgot az intelligens kijelző hálózati biztonsági beállításait illetően. Olyasmi.
Akkor kezdődött, amikor a biztonság szószólója Jerry Gamblin azt tette, amit egy biztonsági ügyvéd, és átvizsgálta a helyi hálózatát, miután csatlakoztatta a Google Home Hub-ját. Megtalálta, hogy mely hálózati portok vannak nyitva és figyelnek, és valószínűleg mire vannak beállítva, hogy figyeljenek.
Nem vagyok IOT biztonsági szakértő, de biztos vagyok benne, hogy egy hitelesítetlen curl utasítás nem képes újraindítani a @madebygoogle otthoni központ. pic.twitter.com/gCWFm5OfybNem vagyok IOT biztonsági szakértő, de biztos vagyok benne, hogy egy hitelesítetlen curl utasítás nem képes újraindítani a @madebygoogle otthoni központ. pic.twitter.com/gCWFm5Ofyb– Jerry Gamblin (@JGamblin) 2018. október 272018. október 27
Többet látni
A legtöbb ember számára ez nem jelent sokat, de mások számára azt mutatja, hogy:
- A Google Home Hub egy fejlett Chromecast (vagy lebutított Android TV-eszköz, válasszon), és nem egy Android Things-eszköz, mint a Lenovo Smart Display és más hasonló termékek.
- Valószínűleg "fogékony" ugyanazokra a fajtákra hálózati parancsok hogy a Chromecastok olyanok ez kikényszeríti az OTA frissítést ha inkább nem várna sorban.
Már korábban is tudtuk, hogy a Home Hub nem ugyanazt az operációs rendszert futtatja, mint a többi intelligens kijelző, mint pl Ars Technica jelentették. Most egy kicsit többet tudunk róla mit operációs rendszert, amelyen fut, és hogyan lehet vele "beszélni", és rávenni a dolgokat.
A Google Home Hub valójában csak egy divatos Chromecast.
Képzelje el az Androidot úgy, hogy a normál Android-alkalmazások telepítéséhez és futtatásához szükséges dolgokat (Dalvik és Bionic, ha szereti az ilyesmit) eltávolították, és egy szabadalmaztatott multicast DNS DIAL (a Felfedezés és indítás a Netflix és a YouTube által kifejlesztett hálózati protokoll) stílusú bináris blob esett a helyükre. Ha tudná, hogyan kell kommunikálni az mDNS szoftverrel, mondjuk a Google Home alkalmazás végrehajthatja az alapvető eszközfunkciókat egy parancssori hálózati kapcsolat segítségével a Gamblin által talált nyitott portokhoz.
Eureka! Kiderült, hogy beszélhet azzal a "titkos" API-val, amelyet a Google Home Hub használ a kommunikációhoz, és minden, amit tehet, lassan, de biztosan dokumentálják.
Ide tartoznak például az újraindítás kényszerítése vagy akár a távoli gyári alaphelyzetbe állítás parancsa. Noha nem ideálisak, ezek nem fogják „bezárni” a Google Home Hubot, ahogyan azt már láttuk, de előfordulhat, hogy kénytelen lesz megnyitni a Google Home alkalmazást egy telefonon, és újra csatlakozni. Azt is fontos megjegyezni, hogy ugyanazon a helyi hálózaton kell lennie, mint a Home Hubnak, így ezt senki sem teheti meg az interneten keresztül.
A Google-nak le kell zárnia a dolgokat, hogy csak a Google Home alkalmazás tudjon "beszélni" a Hubbal.
A Google-nak meg kell találnia a módját ennek megszüntetésére, most, hogy a "hacker" fórumoktól, például az XDA-tól, a mainstreambe került. A Google Home alkalmazásnak továbbra is képesnek kell lennie arra, hogy mindent megtegyen, amit most megtehet, de meg kell valósítani egy módszert a Home Hub segítségével történő hitelesítésre, hogy a hálózaton lévő másik eszköz ne tudjon csatlakozni.
Ha csak azt szeretné, hogy minden működjön, akkor nem kell túlságosan megijednie, hacsak nincs olyan személy, aki csatlakozik a Wi-Fi-hálózathoz, aki szereti a dolgokat. Ha Ön azon emberek közé tartozik, akik szeretnek vacakolni a dolgokkal, azt javaslom, hogy most kezdje el, mielőtt a Google letiltja a távoli hozzáférést a nem dokumentált – és tévesen a nyilvánosság számára nyitott – API-hoz.
Akárhogy is, az ég nem esik le, és a Home Hub is rendben lesz.