Google заявляє, що залатав неприємну лазівку в системі безпеки облікового запису Android TV, яка надала зловмисникам фізичний доступ до вашого пристрою до всього вашого облікового запису Google, просто завантаживши деякі програми. Як повідомляє 404 Media, на цю проблему спочатку звернув увагу Google сенатор США Рон Вайден (D-Ore.) у рамках «огляду практики конфіденційності постачальників технологій потокового телебачення». Google спочатку сказав сенатору, що проблема була очікуваною поведінкою, але після висвітлення в ЗМІ вирішив змінити свою позицію та випустити якийсь патч.
«Мій офіс на середині перегляду практики конфіденційності постачальників потокових телевізійних технологій», — сказав Вайден 404 Media. «У рамках цього розслідування мої співробітники виявили тривожне відео, в якому користувач YouTube демонстрував, як за допомогою 15 хвилин неконтрольованого доступу до приставки Android TV злочинець міг отримати доступ до приватних електронних листів користувача Gmail, який налаштував TV.”
Відео, про яке йде мова, було PSA від YouTuber Кемерон Грей, і воно показує, що захоплення будь-якого пристрою Android TV і завантаження кількох додатків надасть доступ до поточного облікового запису Google. Це очевидно, якщо ви знаєте, як працює Android, але це неочевидно для більшості користувачів, які дивляться на обмежений інтерфейс телевізора.
Суть проблеми полягає в тому, як Android обробляє ваш обліковий запис Google. Відтоді як ОС з’явилася на телефонах, кожен Android-пристрій починає з припущення, що це приватний пристрій для однієї людини. Google доповнив цю функцію підтримкою кількох користувачів і гостьовими обліковими записами, але вони не є частиною стандартного потоку налаштування, їх важко знайти та, ймовірно, вимкнено на багатьох пристроях Android TV. У результаті вхід на пристрій Android TV часто дає йому доступ до всього вашого облікового запису Google.
Оголошення
Android має централізовану систему облікових записів Google, яку спільно використовують мільйон орієнтованих на Google фонових процесів і процесів синхронізації, Play Store і майже всі програми Google. Коли ви вперше завантажуєте пристрій Android, під час покрокового налаштування запитується обліковий запис Google, який, як очікується, постійно залишатиметься на пристрої як основний обліковий запис власника. Будь-яка нова програма Google, яку ви додаєте на свій пристрій, автоматично отримує доступ до цього центрального сховища облікових записів Google, тож якщо ви налаштуєте телефон, а потім установите Google Keep, Keep автоматично ввійде в обліковий запис і отримає доступ до ваших нотаток. Під час початкового налаштування, коли ви можете встановити 10 різних програм, які використовують обліковий запис Google, буде неприємно вводити своє ім’я користувача та пароль знову і знову.
Ця централізована система облікових записів голоднадля облікових записів Google, тому будь-який обліковий запис Google, який ви використовуєте для входу в будь-яку програму Google, засмоктується в центральну систему облікових записів, навіть якщо ви відхиляєте початкове налаштування. Звичайне роздратування – мати обліковий запис Google Workspace на роботі, потім увійти в Gmail для робочої електронної пошти, а потім мати справу з тим, що цей марний робочий обліковий запис відображається в Play Store, на Картах, у фотографіях тощо.
Для телевізорів це є унікальною проблемою, тому що, хоча ви все одно будете змушені входити, щоб завантажити щось із магазину Play, для користувача неочевидно, що ви надаєте цьому пристрою доступ до всього свого облікового запису Google, включно з потенційно конфіденційні речі, такі як історія місцезнаходжень, електронні листи та повідомлення. Пересічному користувачеві телевізійний пристрій просто показує «телевізійні речі», як-от ваші рекомендації YouTube і кілька програм Play Store для телевізора, тому ви можете не вважати це входом із високою чутливістю. Але якщо ви просто завантажите ще кілька програм Google, ви зможете отримати доступ до чого завгодно. Ще більше заплутує стратегія Google OAuth, яка вчить користувачів, що існують такі речі, як обмежений доступ до облікового запису Google на пристроях або сайтах сторонніх розробників, але Android так не працює.
Advertisement
У відео Грей просто бере пристрій Android TV, переходить на сайт стороннього додатка Android, а потім завантажує Chrome. Chrome автоматично входить в обліковий запис Google власника телевізора та має доступ до всіх паролів і файлів cookie, що означає доступ до Gmail, фотографій, історії чатів, файлів Диска, облікових записів YouTube, AdSense, будь-якого сайту, який дозволяє ввійти в Google, і часткового дані кредитної картки. Усе це доступно в Chrome без будь-яких перевірок безпеки. Окремі додатки, такі як Gmail і Google Photos, теж одразу почнуть працювати.
Як підкреслює відео Грея, пристрої Android TV можуть бути ключами, приставками або кодом, встановленим прямо в телевізорі. На підприємствах і в готелях вони можуть бути напівпублічними пристроями. Також неважко уявити, що телевізійний пристрій потрапляє до рук когось іншого. Ви можете не надто хвилюватися про те, що забудете Chromecast за 30 доларів США в номері готелю, або ви можете ввійти в готельний телевізор і забути видалити свій обліковий запис, або ви можете викинути телевізор і не думати двічі про те, в який обліковий запис ви ввійшли . Якщо пізніше зловмисник отримає доступ до будь-якого з цих пристроїв, розблокувати весь обліковий запис Google буде нескладно.
Google каже, що вирішив цю проблему, але не пояснює, як. У заяві компанії для 404 йдеться: «Більшість пристроїв Google TV із останніми версіями програмного забезпечення вже не дозволяють таку поведінку. Ми зараз розгортаємо виправлення для решти пристроїв. З метою безпеки ми завжди раджу користувачам оновлювати свої пристрої до останньої версії програмного забезпечення.”
Багато пристроїв Android TV, особливо ті, що вбудовані в телевізори, не працюють і працюють зі старою версією програмного забезпечення, але систему облікових записів Google можна оновити через Play Store, тож є хороша ймовірність виправлення може розгорнутися на більшості пристроїв.
