Хакери не збираються замурувати ваш новий домашній центр Google, але Google повинен виправити кілька речей, коли справа стосується налаштувань безпеки мережевого дисплея смарт-дисплея. Типу.
Це почалося, коли захисник безпеки Джеррі Гамблін робив те, що робить захисник, і сканував свою локальну мережу після того, як він підключив свій домашній центр Google. Він виявив, які порти мережі відкриті та прослуховують, і що вони, ймовірно, налаштовані для прослуховування.
Я не є експертом з безпеки IOT, але я впевнений, що несанкціонована заява про згортання не повинна мати можливість перезавантажити домашній центр @madebygoogle. pic.twitter.com/gCWFm5Ofyb
- Джеррі Гамблін (@JGamblin) 27 жовтня 2018 року
Для більшості людей це не означає багато, але для інших це показує, що:
- Домашній центр Google - це вдосконалений Chromecast (або скинутий на Android телевізор Android), а не пристрій Android Things, як Lenovo Smart Display та інші подібні продукти.
- Ймовірно, це "сприйнятливість" до тих самих мережевих команд, що і Chromecasts, як ця, яка змусить оновити OTA, якщо ви хочете не чекати в черзі.
Ми вже знали, що Home Hub не працює з тією ж операційною системою, що й інші смарт-дисплеї, як повідомляв Ars Technica. Тепер ми знаємо трохи більше про те, в якій операційній системі вона працює, і як "поговорити" з нею і змусити її робити щось.
Домашній центр Google - це просто фантастичний Chromecast.
Уявіть собі Android із речами, необхідними для встановлення та запуску звичайних додатків для Android (Dalvik та Bionic, якщо ви займаєтесь подібними речами), і видаленого власного багатоадресного DNS DIAL (мережевий протокол відкриття та запуску, розроблений Netflix та YouTube) у стилі бінарного блобу впали на їх місці. Якщо ви знали, як спілкуватися з цим програмним забезпеченням mDNS, як, наприклад, це робить програма Google Home, ви можете виконувати основні функції пристрою, використовуючи мережеве з'єднання командного рядка з тими відкритими портами, які знайшов Гамблін.
Еврика! Виявляється, ви можете поговорити з тим "секретним" API, який використовує Google Home Hub для спілкування, і все те, що ви можете зробити, повільно, але точно підтверджується документально.
Сюди входять такі речі, як примусове перезавантаження або навіть віддалена команда скидання заводських налаштувань. Хоча це не ідеально, вони не "замурують" ваш домашній центр Google, як ми бачили, як повідомлялося, але вас можуть змусити відкрити додаток Google Home по телефону та підключитися знову. Також важливо пам’ятати, що вам потрібно бути в тій же локальній мережі, що і Home Hub, тому ніхто не може робити нічого з цього через Інтернет.
Google повинен заблокувати речі, щоб лише програма "Домашня сторінка Google" могла "спілкуватися" на Хабі.
Google повинен буде знайти спосіб це зафіксувати зараз, коли він відійшов від "хакерських" форумів, таких як XDA, і в мейнстрім. Додаток Google Home все ще повинен мати можливість робити все, що зараз може зробити, але спосіб реалізувати автентифікацію з домашнім концентратором, щоб інший пристрій у мережі не міг підключитися, потрібно реалізувати.
Якщо ви просто хочете, щоб все працювало, вам не доведеться надто тривожитися, якщо у вас не є хтось підключений до вашого Wi-Fi, який любить возитися з речами. Якщо ви один з тих людей, хто любить возитися з речами, рекомендую вам перейти до цього, перш ніж Google заблокує віддалений доступ до незадокументованого - і помилково відкритого для громадськості - API.
Так чи інакше, небо не падає, і ваш домашній хаб буде просто чудовим.
