Hackere kommer ikke til å murre din nye Google Home Hub, men Google trenger å fikse et par ting når det kommer til smartskjermens nettverkssikkerhetsinnstillinger. På en måte.
Det startet da sikkerhetsadvokaten Jerry Gamblin gjorde det en sikkerhetsadvokat gjør og skannet det lokale nettverket sitt etter at han koblet til Google Home Hub. Han fant hvilke nettverksporter som var åpne og lyttet, og hva de sannsynligvis var konfigurert til å lytte etter.
Jeg er ikke en IOT-sikkerhetsekspert, men jeg er ganske sikker på at en uautentisert krøllsetning ikke skal kunne starte på nytt @madebygoogle hjemmeknutepunkt. pic.twitter.com/gCWFm5OfybJeg er ikke en IOT-sikkerhetsekspert, men jeg er ganske sikker på at en uautentisert krøllsetning ikke skal kunne starte på nytt @madebygoogle hjemmeknutepunkt. pic.twitter.com/gCWFm5Ofyb— Jerry Gamblin (@JGamblin) 27. oktober 201827. oktober 2018
Se mer
For de fleste betyr ikke dette mye, men for andre viser det at:
- Google Home Hub er en avansert Chromecast (eller nedtonet Android TV-enhet, velg) og ikke en Android Things-enhet som Lenovo Smart Display og andre lignende produkter.
- Det er sannsynligvis "mottakelig" for de samme typene nettverkskommandoer som Chromecaster er, som denne som vil tvinge frem en OTA-oppdatering hvis du helst ikke vil stå i kø.
Vi visste allerede at Home Hub ikke kjørte det samme operativsystemet som andre smarte skjermer, som Ars Technica rapportert. Nå vet vi litt mer om hva operativsystemet det kjører, og hvordan du kan "snakke" til det og få det til å gjøre ting.
Google Home Hub er egentlig bare en fancy Chromecast.
Se for deg Android med de tingene som trengs for å installere og kjøre vanlige Android-apper (Dalvik og Bionic hvis du liker denne typen ting) fjernet og en proprietær multicast DNS DIAL (den Oppdagelse og lansering nettverksprotokoll utviklet av Netflix og YouTube) stil binær blob falt i stedet. Hvis du visste hvordan du kommuniserer med den mDNS-programvaren, for eksempel si Google Home-appen gjør, kan du utføre grunnleggende enhetsfunksjoner ved å bruke en kommandolinjenettverkstilkobling til de åpne portene Gamblin fant.
Eureka! Det viser seg at du kan snakke med den "hemmelige" APIen som en Google Home Hub bruker for å kommunisere, og alt du kan gjøre er sakte men sikkert blir dokumentert.
Dette inkluderer ting som å tvinge en omstart eller til og med en ekstern fabrikktilbakestillingskommando. Selv om det ikke er ideelt, vil disse ikke "mure" Google Home Hub slik vi har sett blir rapportert, men du kan bli tvunget til å åpne Google Home-appen på en telefon og koble til på nytt. Det er også viktig å huske at du må være på det samme lokale nettverket som Home Hub, så ingen kan gjøre noe av dette over internett.
Google må låse ting slik at bare Google Home-appen kan "snakke" med Hub.
Google må finne en måte å slå dette ned på nå som det er flyttet bort fra "hacker"-fora som XDA og inn i mainstream. Google Home-appen må fortsatt kunne gjøre alt den kan nå, men en måte å autentisere seg selv med en Home Hub slik at en annen enhet på nettverket ikke kan koble til, må implementeres.
Hvis du bare vil at alt skal fungere, trenger du ikke være for skremt med mindre du har noen koblet til Wi-Fi-en din som liker å rote med ting. Hvis du er en av dem som liker å rote med ting, vil jeg anbefale at du begynner på det nå før Google låser ekstern tilgang til det udokumenterte - og feilaktig åpne for publikum - API.
Uansett faller ikke himmelen, og hjemmehuben din kommer til å gå helt fint.