Hackare kommer inte att mura din nya Google Home Hub, men Google behöver fixa några saker när det kommer till den smarta skärmens nätverkssäkerhetsinställningar. Ungefär.
Det började när säkerhetsförespråkare Jerry Gamblin gjorde vad en säkerhetsförespråkare gör och skannade sitt lokala nätverk efter att han anslutit sin Google Home Hub. Han hittade vilka nätverksportar som var öppna och lyssnade, och vad de förmodligen var konfigurerade för att lyssna efter.
Jag är ingen IOT-säkerhetsexpert, men jag är ganska säker på att ett oautenticerat curl-uttalande inte borde kunna starta om @madebygoogle hem nav. pic.twitter.com/gCWFm5OfybJag är ingen IOT-säkerhetsexpert, men jag är ganska säker på att ett oautenticerat curl-uttalande inte borde kunna starta om @madebygoogle hem nav. pic.twitter.com/gCWFm5Ofyb— Jerry Gamblin (@JGamblin) 27 oktober 201827 oktober 2018
Se mer
För de flesta betyder detta inte så mycket, men för andra visar det att:
- Google Home Hub är en avancerad Chromecast (eller nedtonad Android TV-enhet, välj själv) och inte en Android Things-enhet som Lenovo Smart Display och andra liknande produkter.
- Det är förmodligen "mottagligt" för samma typer av nätverkskommandon som Chromecasts är, typ den här som kommer att tvinga fram en OTA-uppdatering om du helst inte vill stå i kö.
Vi visste redan att Home Hub inte körde samma operativsystem som andra smarta skärmar, som Ars Technica rapporterad. Nu vet vi lite mer om Vad operativsystem det körs och hur man "pratar" med det och får det att göra saker.
Google Home Hub är egentligen bara en fancy Chromecast.
Föreställ dig Android med de saker som behövs för att installera och köra vanliga Android-appar (Dalvik och Bionic om du gillar den här typen av saker) borttagna och en proprietär multicast DNS DIAL (den Upptäckt och lansering nätverksprotokoll utvecklat av Netflix och YouTube) stil binär blob släpptes i deras ställe. Om du visste hur man kommunicerade med den mDNS-mjukvaran, säg till exempel Google Home-appen gör, kan du utföra grundläggande enhetsfunktioner med hjälp av en kommandoradsnätverksanslutning till de öppna portar som Gamblin hittade.
Eureka! Det visar sig att du kan prata med det där "hemliga" API: et som en Google Home Hub använder för att kommunicera och allt du kan göra är sakta men säkert dokumenteras.
Detta inkluderar saker som att tvinga en omstart eller till och med ett fjärråterställningskommando. Även om de inte är idealiska kommer dessa inte att "mura" din Google Home Hub som vi har sett rapporteras, men du kan tvingas öppna Google Home-appen på en telefon och återansluta. Det är också viktigt att komma ihåg att du måste vara på samma lokala nätverk som Home Hub, så ingen kan göra något av detta över internet.
Google måste låsa saker så att bara Google Home-appen kan "prata" med Huben.
Google måste hitta ett sätt att stävja detta nu när det har flyttat bort från "hacker"-forum som XDA och in i mainstream. Google Home-appen måste fortfarande kunna göra allt den kan göra nu, men ett sätt att autentisera sig med en Home Hub så att en annan enhet i nätverket inte kan ansluta måste implementeras.
Om du bara vill att allt ska fungera behöver du inte vara alltför orolig om du inte har någon ansluten till ditt Wi-Fi som gillar att bråka med saker. Om du är en av dem som gillar att bråka med saker, skulle jag rekommendera att du börjar med det nu innan Google låser fjärråtkomst till det odokumenterade - och av misstag öppna för allmänheten - API.
Hur som helst, himlen faller inte och din Home Hub kommer att bli bra.