TL;DR
- Android TV przechowuje dane logowania do konta Google bez żadnych zabezpieczeń, które w zwykłych aplikacjach przeglądarkowych mogą zostać wykorzystane do logowania się do usług Google.
- Google wspomina, że naprawił lukę w nowszych urządzeniach z najnowszą wersją Google TV i naprawia ją w przypadku innych starszych urządzeń.
Jeśli posiadasz w domu telewizor Smart TV lub urządzenie Smart TV, istnieje duża szansa, że obsługuje on platformę Android TV lub Google TV (która w dalszym ciągu jest Android TV z warstwą rekomendacji treści na górze). Jeśli tak się stanie, nie zostawiaj ludzi bez nadzoru przy telewizorze, ponieważ dość rażąca luka w Android TV pozwala każdemu zobaczyć wszystkie dane Twojego konta Google, a nawet narazić je na szwank, jeśli zalogujesz się do Android TV.
Advertisement
YouTuber Camerona Graya zauważył tę lukę na początku roku i 404 Środowisko swoim raportem przywrócili go na światło dzienne. Z tych ustaleń wynika, że brak zabezpieczeń Android TV sprawia, że jest to idealne urządzenie do szpiegowania dowolnych adresów e-mail, na których się zalogujesz. Potrzebujesz fizycznego dostępu do telewizora, a mysz i klawiatura ułatwiłyby ten proces, ale nadal jest całkiem możliwe, że zły aktor wykorzysta tę lukę w nieuzasadniony sposób i włamie się na konta Google obecne w telewizorze.
Zasadniczo, gdy logujesz się do Android TV za pomocą konta Google, przechowuje on dane logowania, abyś mógł zalogować się do innych aplikacji na telewizorze. Jest to standardowe zachowanie Androida, które widzimy na telefonach, ale telefony mają zabezpieczenia, takie jak PIN i odblokowanie biometryczne, a telewizory ich nie mają. Dostęp do logowania na platformie Android TV jest zwykle ograniczony do aplikacji, które można zainstalować ze Sklepu Google Play na platformie Android TV, a w sklepie TV Play nie wyświetla się kilka aplikacji, takich jak Gmail, Google Chrome, inne przeglądarki i inne.
Jeśli jednak możesz przenieść Chrome na Android TV (co jest całkiem proste, jeśli wiesz, co robisz), możesz przejść do internetowych wersji Gmaila lub innych usług Google przez Chrome i automatycznie się zalogować. Do zalogowania się nie jest potrzebne żadne hasło, ani PIN ani dane biometryczne nie są potrzebne do potwierdzenia Twojej tożsamości jako właściciela telewizora. Po zalogowaniu możesz czytać e-maile, a nawet kontynuować resetowanie i przejmowanie zalogowanego konta.
Google początkowo wspomniał, że jest to oczekiwane zachowanie i jest to prawidłowe. Nie zmienia to jednak faktu, że jest to niedopatrzenie związane z bezpieczeństwem. Niedawno jednak Google zmienił swoje stanowisko, wspominając, że „naprawił” problem na nowszych urządzeniach Google TV i jest w trakcie jego naprawiania na pozostałych.
Advertisement
Oto oświadczenie dostarczone przez firmę Google 404 Środowisko:
Nieustannie pracujemy nad ulepszeniem naszych zabezpieczeń, aby zapewnić bezpieczeństwo użytkownikom Google TV i Android TV OS. Jesteśmy świadomi tego potencjalnego scenariusza, w którym przestępcy, którzy uzyskali fizyczny dostęp do telewizora, mogą ręcznie zastąpić ustawienia domyślne, aby przenieść aplikacje Google, do których normalnie nie można dotrzeć na telewizorze, i uzyskać dostęp do usług Google na zalogowanym koncie. Większość urządzeń Google TV z najnowszymi wersjami oprogramowania nie pozwala już na to przedstawione zachowanie. Jesteśmy w trakcie wdrażania poprawki na pozostałych urządzeniach. W ramach najlepszej praktyki bezpieczeństwa zawsze zalecamy użytkownikom aktualizację oprogramowania do najnowszego oprogramowania na swoich urządzeniach.
Skontaktowaliśmy się z Google, aby dowiedzieć się więcej na temat rozwiązania tej luki w zabezpieczeniach.
Biorąc pod uwagę wagę ryzyka związanego z tą luką, odradzamy logowanie się na żadne ważne konta Google na urządzeniach z Androidem TV. Zawsze korzystałem z fikcyjnego konta telewizyjnego w przypadku moich telewizorów Smart TV, ponieważ pomaga to zachować czystość kanałów rekomendacji i historię oglądania oraz oddzielić je od mojej rodziny. Teraz jest jeszcze więcej powodów, aby korzystać z fałszywych kont. A jeśli logujesz się na swoje konto Google na wspólnych urządzeniach telewizyjnych poza domem, na przykład w hotelach lub Airbnb, już na początku był to zły pomysł, więc i tak powinieneś natychmiast przestać to robić.
Advertisement