Уязвимость в операционной системе Android TV оставляла открытой лазейку для пользователей, позволяющую получить доступ к почтовому ящику Gmail владельца телевизора и многому другому, но Google выпускает исправление, и компания теперь подтвердила, в чем оно заключается.
Операционная система Android TV, как и Android на вашем телефоне, выполняет вход в учетную запись Google на системном уровне. Это позволяет определенным приложениям, таким как Google Chrome, входить в эту учетную запись Google без необходимости ввода пароля. Это предусмотрено дизайном и, как правило, не является проблемой, поскольку смартфоны и планшеты обычно имеют PIN-код, пароль или биометрические данные для защиты приложений на вашем устройстве.
Однако с Android TV и Google TV это не так.
Ранее в этом году было указано , а затем на этой неделе в отчете подчеркнуто, что злоумышленники теоретически могли бы установить Google Chrome на устройство с операционной системой Android TV, а затем использовать его для доступа к учетной записи Google владельца телевизора. Это не столько эксплойт безопасности, сколько лазейка, которую не так уж и сложно использовать, если вы знаете, как получить доступ к APK и установить приложение.
Google в заявлении для 404 Media уже подтвердила, что исправление распространяется на Google TV и Android TV для устранения проблемы, но не уточнила, в чем оно заключается.
Большинство устройств Google TV, работающих под управлением последних версий программного обеспечения, уже не допускают такого поведения. Мы осуществляем развертывание исправления для остальных устройств.
В беседе с 9to5Google компания предоставила немного больше контекста.
В будущем на Google TV и Android TV установка Google Chrome больше не будет автоматически использовать токен входа для учетной записи Google при доступе к Gmail или Google Drive на устройстве.
Таким образом, хотя это, вероятно, не предотвратит *все* способы доступа к учетной записи через разблокированный телевизор, это должно в значительной степени предотвратить доступ к наиболее конфиденциальным данным учетной записи.
Google добавила (после публикации этой статьи), что обновление распространяется через обновление приложения, поэтому старые устройства также получат это изменение.