Хакеры не собираются блокировать ваш новый Google Home Hub, но Google нужно исправить некоторые вещи, когда дело доходит до настроек сетевой безопасности смарт-дисплея. Вид.
Это началось, когда адвокат безопасности Джерри Гамблин сделал то, что делает адвокат безопасности, и просканировал свою локальную сеть после того, как он подключил свой Google Home Hub. Он обнаружил, какие сетевые порты были открыты и прослушивались, и что они, вероятно, были настроены для прослушивания.
Я не являюсь экспертом по безопасности IOT, но я уверен, что не заверенное утверждение curl не сможет перезагрузить домашний хаб @madebygoogle. pic.twitter.com/gCWFm5Ofyb
- Джерри Гамблин (@JGamblin) 27 октября 2018 г.
Для большинства людей это мало что значит, но для других это показывает, что:
- Google Home Hub - это продвинутый Chromecast (или тупое устройство Android TV, на ваше усмотрение), а не устройство Android Things, такое как Lenovo Smart Display и другие подобные продукты.
- Вероятно, он «восприимчив» к тем же типам сетевых команд, что и Chromecasts, например, который заставит OTA-обновление, если вы не хотите ждать в очереди.
Мы уже знали, что Home Hub не работал под управлением той же операционной системы, что и другие интеллектуальные дисплеи, как сообщает Ars Technica. Теперь мы немного больше узнаем о том, на какой операционной системе она работает, и как с ней «разговаривать» и заставлять ее что-то делать.
Google Home Hub - это просто модный Chromecast.
Представьте себе Android с необходимыми компонентами для установки и запуска обычных приложений Android (Dalvik и Bionic, если вы в этом разбираетесь) и запатентованный двоичный блоб в стиле DNS DIAL (сетевой протокол обнаружения и запуска, разработанный Netflix и YouTube). упал на свое место. Если вы знали, как взаимодействовать с этим программным обеспечением mDNS, как, например, приложение Google Home, вы могли бы выполнять основные функции устройства, используя сетевое подключение командной строки к тем открытым портам, которые обнаружил Gamblin.
Эврика! Оказывается, вы можете общаться с этим «секретным» API, который используется для связи с Google Home Hub, и все, что вы можете делать, медленно, но верно документируется.
Это включает в себя такие вещи, как принудительная перезагрузка или даже команда удаленного сброса к заводским настройкам. Хотя это и не идеально, они не будут «кирпичить» ваш Google Home Hub, как мы уже видели, но вы можете быть вынуждены открыть приложение Google Home на телефоне и восстановить соединение. Также важно помнить, что вы должны быть в той же локальной сети, что и Home Hub, поэтому никто не может сделать это через Интернет.
Google необходимо заблокировать все, чтобы только приложение Google Home могло «общаться» с Центром.
Google должен будет найти способ ограничить это теперь, когда он отошел от "хакерских" форумов, таких как XDA, и стал массовым. Приложение Google Home по-прежнему должно быть в состоянии сделать все, что оно может сделать сейчас, но необходимо внедрить способ аутентификации себя с помощью Home Hub, чтобы другое устройство в сети не могло подключиться.
Если вы просто хотите, чтобы все работало, вам не нужно слишком беспокоиться, если у вас нет подключенного к вашему Wi-Fi человека, который любит возиться с вещами. Если вы один из тех, кому нравится возиться с вещами, я бы порекомендовал вам заняться этим сейчас, прежде чем Google заблокирует удаленный доступ к недокументированному и по ошибке открытому для общественности API.
В любом случае, небо не падает, и ваш домашний концентратор будет в порядке.
