Хакеры не собираются блокировать ваш новый Google Home Hub, но Google нужно исправить несколько вещей, когда дело доходит до настроек сетевой безопасности интеллектуального дисплея. Вроде.
Это началось, когда защитник безопасности Джерри Гэмблин сделал то, что делает защитник безопасности, и просканировал свою локальную сеть после того, как подключил свой Google Home Hub. Он нашел, какие сетевые порты были открыты и прослушивали, и что они, вероятно, были настроены для прослушивания.
Я не эксперт по безопасности IOT, но я уверен, что оператор curl без аутентификации не сможет перезагрузить компьютер. @madebygoogle домашний узел. pic.twitter.com/gCWFm5OfybЯ не эксперт по безопасности IOT, но я уверен, что оператор curl без аутентификации не сможет перезагрузить компьютер. @madebygoogle домашний узел. pic.twitter.com/gCWFm5Ofyb— Джерри Гэмблин (@JGamblin) 27 октября 2018 г.27 октября 2018 г.
Узнать больше
Для большинства людей это ничего не значит, но для других это показывает, что:
- Google Home Hub — это усовершенствованный Chromecast (или упрощенное устройство Android TV, выбирайте сами), а не устройство Android Things, такое как Lenovo Smart Display и другие подобные продукты.
- Вероятно, он «восприимчив» к тем же видам сетевые команды что Chromecasts, как этот, который заставит обновление OTA если вы предпочитаете не стоять в очереди.
Мы уже знали, что Home Hub не работает под управлением той же операционной системы, что и другие интеллектуальные дисплеи. Арс Техника сообщил. Теперь мы знаем немного больше о что операционная система, на которой он работает, и как с ним «разговаривать» и заставлять его что-то делать.
Google Home Hub на самом деле просто модный Chromecast.
Представьте себе Android с удаленными вещами, необходимыми для установки и запуска обычных приложений Android (Dalvik и Bionic, если вам нравятся такие вещи), и проприетарным многоадресным DNS DIAL ( Открытие и запуск сетевой протокол, разработанный Netflix и YouTube) в стиле бинарного BLOB-объекта, отброшенного на их место. Если бы вы знали, как общаться с этим программным обеспечением mDNS, например, Приложение Google Главная Таким образом, вы можете выполнять основные функции устройства, используя сетевое подключение из командной строки к тем открытым портам, которые нашел Гамблин.
Эврика! Оказывается, вы можете общаться с этим «секретным» API, который использует Google Home Hub для связи, и все, что вы можете сделать, это медленно, но верно документируется.
Это включает в себя такие вещи, как принудительная перезагрузка или даже команда удаленного сброса настроек. Хотя это и не идеально, они не «заблокируют» ваш Google Home Hub, как мы видели, но вы можете быть вынуждены открыть приложение Google Home на телефоне и повторно подключиться. Также важно помнить, что вы должны находиться в той же локальной сети, что и Home Hub, поэтому никто не сможет сделать ничего из этого через Интернет.
Google необходимо заблокировать все, чтобы только приложение Google Home могло «разговаривать» с Hub.
Google придется найти способ пресечь это сейчас, когда он переместился с «хакерских» форумов, таких как XDA, в мейнстрим. Приложение Google Home по-прежнему должно иметь возможность делать все, что оно может делать сейчас, но необходимо реализовать способ аутентификации с помощью Home Hub, чтобы другое устройство в сети не могло подключиться.
Если вы просто хотите, чтобы все работало, вам не нужно слишком беспокоиться, если только к вашему Wi-Fi не подключен кто-то, кто любит возиться с вещами. Если вы один из тех людей, которым нравится возиться с вещами, я бы порекомендовал вам заняться этим сейчас, прежде чем Google заблокирует удаленный доступ к недокументированному — и по ошибке открытому — API.
В любом случае небо не рухнет, и с вашим Home Hub все будет в порядке.