Hackere vil ikke miste din nye Google Home Hub, men Google har brug for at ordne et par ting, når det kommer til smart displayets netværkssikkerhedsindstillinger. Slags.
Det startede, da sikkerhedsadvokat Jerry Gamblin gjorde, hvad en sikkerhedsadvokat gør, og scannede sit lokale netværk, efter at han tilsluttede sin Google Home Hub. Han fandt, hvilke netværksporte der var åbne og lytter, og hvad de sandsynligvis var konfigureret til at lytte til.
Jeg er ikke en IOT-sikkerhedsekspert, men jeg er temmelig sikker på, at en ikke-godkendt krul-erklæring ikke skal være i stand til at genstarte @madebygoogle-hjemmeknappen. pic.twitter.com/gCWFm5Ofyb
- Jerry Gamblin (@JGamblin) 27. oktober 2018
For de fleste betyder det ikke meget, men for andre viser det, at:
- Google Home Hub er en avanceret Chromecast (eller en nedslidt Android TV-enhed, vælg dit valg) og ikke en Android Things-enhed som Lenovo Smart Display og andre lignende produkter.
- Det er sandsynligvis "modtageligt" for de samme typer netværkskommandoer, som Chromecasts er, som denne, der vil tvinge en OTA-opdatering, hvis du hellere ikke vil vente i kø.
Vi vidste allerede, at Home Hub ikke kørte det samme operativsystem som andre smarte skærme, som Ars Technica rapporterede. Nu ved vi lidt mere om, hvilket operativsystem det kører, og hvordan man "taler" til det og får det til at gøre ting.
Google Home Hub er virkelig bare en fancy Chromecast.
Forestil dig Android med de ting, der er nødvendigt for at installere og køre normale Android-apps (Dalvik og Bionic, hvis du er i denne slags ting) fjernet, og en proprietær multicast DNS DIAL (Discovery and Launch- netværksprotokol udviklet af Netflix og YouTube) stil binær blob faldt i deres sted. Hvis du vidste, hvordan du kommunikerer med den mDNS-software, som f.eks. Google Home-appen gør, kunne du udføre basale enhedsfunktioner ved hjælp af en kommandolinjens netværksforbindelse til de åbne porte, som Gamblin fandt.
Eureka! Det viser sig, at du kan tale med det "hemmelige" API, som en Google Home Hub bruger til at kommunikere, og alle de ting, du kan gøre, bliver langsomt men sikkert dokumenteret.
Dette inkluderer ting som at tvinge en genstart eller endda en fjernindstilling fra fabriksindstillingen. Selvom det ikke er ideelt, "vil" disse ikke "murke" din Google Home Hub, som vi har set at blive rapporteret, men du kan blive tvunget til at åbne Google Home-appen på en telefon og tilslutte igen. Det er også vigtigt at huske, at du skal være på det samme lokale netværk som Home Hub, så ingen kan gøre noget af dette over internettet.
Google er nødt til at låse tingene ned, så kun Google Home-appen kan "tale" med huben.
Google bliver nødt til at finde en måde at begrænse dette på nu, hvor det er flyttet væk fra "hacker" -fora som XDA og ind i mainstream. Google Home-appen skal stadig være i stand til at gøre alt, hvad den kan gøre nu, men en måde at autentificere sig selv med en Home Hub, så en anden enhed på netværket ikke kan oprette forbindelse, skal implementeres.
Hvis du bare vil have, at alt skal fungere, behøver du ikke være for alarm, medmindre du har nogen tilsluttet din Wi-Fi, der kan lide at rod med tingene. Hvis du er en af disse mennesker, der kan lide at rodet med ting, vil jeg anbefale dig at gå på det nu, før Google låser fjernadgang til det udokumenterede - og fejlagtigt åbent for offentligheden - API.
Uanset hvad, himlen falder ikke, og din Home Hub vil være helt fin.
