Google Home Hub, первая попытка Google в сфере умных дисплеев, получила в целом положительные отзывы, включая наши. Однако, согласно обзору безопасности, ситуация может быть несколько иной: один исследователь утверждает, что безопасность устройства «оставляет желать лучшего». Google, разумеется, отрицает эти утверждения.
Google Home Hub работает не на Android Things, как другие умные дисплеи с Ассистентом, такие как JBL Link View и Lenovo Smart Display, а использует платформу Google Cast. Согласно недавнему интервью, это решение было принято исходя из большего знакомства компании с платформой Cast по сравнению с Android Things.
Это решение могло оставить устройство уязвимым для некоторых потенциальных угроз, по словам исследователя безопасности Джерри Гамблина. Его исследование показывает, что Home Hub может в некоторых аспектах дистанционно управляться с помощью незащищенного API, который изначально был обнаружен для Chromecast и Google Home. Гамблин смог использовать эту информацию в своих интересах и с помощью командной строки перезагрузить свой Google Home Hub.
Я провел последние два вечера, изучая безопасность нового Google Home Hub, и это просто ужасно. API позволяет практически полный удаленный неаутентифицированный контроль (недокументированный). https://t.co/gsrLoLOtfy
— Jerry Gamblin (@JGamblin) 30 октября 2018
Прежде чем мы начнем возмущаться, стоит учесть контекст. API, о котором идет речь, используется приложением Google Home для связи с устройствами, и кажется, что API может делать очень мало того, что невозможно сделать через приложение Google Home. Что еще более важно, это не первый случай, когда эта «уязвимость» попадает в новости: ранее в этом году она была в центре гораздо более серьезной уязвимости безопасности, которая могла раскрыть точное местоположение (вплоть до почтового адреса) устройства Chromecast или Google Home.
После обнаружения предыдущей уязвимости Google закрыл ее, но остальное, по-видимому, осталось нетронутым. Настойчивые хакеры и исследователи, такие как Rithvik Vibhu, исследовали и изучали оставшийся API, вплоть до тщательного документирования.
Эти факты были подтверждены заявлением Google, предоставленным Android Authority:
Все устройства Google Home разработаны с учетом безопасности и конфиденциальности пользователей и используют защищенный аппаратный механизм загрузки, чтобы гарантировать, что на устройстве используется только код, аутентифицированный Google. Кроме того, любое взаимодействие, содержащее информацию о пользователе, аутентифицируется и шифруется.
Недавнее заявление о безопасности Google Home Hub не соответствует действительности. API, упомянутые в этом заявлении, используются мобильными приложениями для настройки устройства и доступны только тогда, когда эти приложения и устройство Google Home находятся в одной сети Wi-Fi. Несмотря на заявления, нет никаких свидетельств того, что информация пользователей находится под угрозой.
Мнение 9to5Google
Здесь нет однозначного вердикта, поскольку обе стороны имеют веские аргументы. Google, со своей стороны, утверждает, что API предназначен для настройки устройства и не раскрывает информацию о пользователе (по крайней мере, больше), и это соответствует фактам, которые мы можем видеть в неофициальной документации.
Однако Гамблин приводит очень веский довод, говоря, что этот API, по крайней мере, мог бы быть аутентифицирован, а не оставлен открытым. Это, вероятно, было бы простым исправлением со стороны Google, но, учитывая, что это не первый раз, когда компания подвергается критике за этот открытый API, маловероятно, что ситуация изменится в ближайшее время.
Смотрите 9to5Google на YouTube для получения дополнительных новостей: