Η Google λέει ότι έχει επιδιορθώσει ένα κενό στο σύστημα ασφαλείας των λογαριασμών σε Android TV, το οποίο θα έδινε σε τρίτους με φυσική πρόσβαση στη συσκευή σας πρόσβαση σε ολόκληρο τον Google λογαριασμό σας μόνο με την παράλληλη φόρτωση ορισμένων εφαρμογών. Όπως αναφέρει το 404 Media, το ζήτημα τέθηκε αρχικά υπόψη της Google από τον Αμερικανό γερουσιαστή Ron Wyden (D-Ore.) στο πλαίσιο μιας «αναθεώρησης των πρακτικών προστασίας της ιδιωτικής ζωής των παρόχων τεχνολογίας streaming TV». Η Google αρχικά δεν έδωσε ιδιαίτερη σημασία στην αναφορά, αλλά, μετά την κάλυψη από τα μέσα ενημέρωσης, αποφάσισε να αλλάξει στάση και να εκδώσει ένα patch που επιδιορθώνει αυτό το κενό ασφαλείας.
«Το γραφείο μου βρίσκεται στα μέσα μιας αναθεώρησης των πρακτικών προστασίας της ιδιωτικής ζωής των παρόχων τεχνολογίας streaming TV», δήλωσε ο Wyden στο 404 Media. «Στο πλαίσιο αυτής της έρευνας, το προσωπικό μου ανακάλυψε ένα ανησυχητικό βίντεο στο οποίο ένας YouTuber έδειχνε πώς με 15 λεπτά ανεξέλεγκτης πρόσβασης σε έναν αποκωδικοποιητή Android TV, ένας εγκληματίας θα μπορούσε να αποκτήσει πρόσβαση στα προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου του χρήστη του Gmail που εγκατέστησε την τηλεόραση».
Το εν λόγω βίντεο ήταν ένα δημοσίου ενδιαφέροντος (PSA) από τον YouTuber Cameron Gray, και δείχνει ότι σε οποιαδήποτε συσκευή Android TV αν γίνει sideloading μερικών εφαρμογών θα χορηγηθεί πρόσβαση στον Google λογαριασμό που είναι συνδεδεμένος με τη συσκευή. Αυτό ενδεχομένως να είναι γνωστό σε όσους γνωρίζουν πώς λειτουργεί το λογισμικό Android, αλλά δεν είναι προφανές για τους περισσότερους χρήστες που βλέπουν απλώς ένα περιορισμένο περιβάλλον εργασίας στην τηλεόρασή τους.
Η καρδιά του προβλήματος είναι ο τρόπος με τον οποίο το Android αντιμετωπίζει τον Google λογαριασμό σας. Από τότε που το λειτουργικό σύστημα μπήκε στα κινητά τηλέφωνα, κάθε συσκευή Android ξεκινά με την παραδοχή ότι είναι μια ιδιωτική συσκευή ενός ατόμου. Η Google έχει χτίσει πάνω σε αυτό το χαρακτηριστικό υποστηρίζοντας ταυτόχρονα την ύπαρξη πολλαπλών χρηστών και λογαριασμούς επισκεπτών, αλλά αυτές οι λειτουργίες είναι συνήθως απενεργοποιημένες σε πολλές συσκευές Android TV. Έτσι, το αποτέλεσμα είναι ότι η σύνδεση σε μια συσκευή Android TV συχνά δίνει πρόσβαση σε ολόκληρο το λογαριασμό Google που είναι σεταρισμένος σε αυτή.
Το Android διαθέτει ένα συγκεντρωτικό σύστημα λογαριασμού Google, στο οποίο πάρα πολλές διεργασίες πραγματοποιούνται στο background μοιράζονται και συγχρονίζονται με την Google, το Play Store και σχεδόν όλες τις εφαρμογές της Google. Όταν εκκινείτε μια συσκευή Android για πρώτη φορά, η καθοδηγούμενη ρύθμιση ζητά έναν λογαριασμό Google. Κάθε νέα εφαρμογή Google που προσθέτετε στη συσκευή σας αποκτά αυτόματα πρόσβαση σε αυτό το κεντρικό Google λογαριασμού, οπότε αν ρυθμίσετε το τηλέφωνο και στη συνέχεια εγκαταστήσετε το Google Keep, το Keep συνδέεται αυτόματα και αποκτά πρόσβαση στις σημειώσεις σας.
Για τις τηλεοράσεις με Android TV, ωστόσο, ενώ εξακολουθείτε να είστε υποχρεωμένοι να συνδεθείτε με έναν Google λογαριασμό για να κατεβάσετε κάτι από το Play Store, δεν είναι προφανές ότι παρέχετε σε αυτή τη συσκευή πρόσβαση σε ολόκληρο τον λογαριασμό σας στη Google -συμπεριλαμβανομένων των δυνητικά ευαίσθητων δεδομένων όπως το ιστορικό τοποθεσίας, τα μηνύματα ηλεκτρονικού ταχυδρομείου κ.α. Στον μέσο χρήστη, μια συσκευή τηλεόρασης είναι απλώς μια τηλεόραση, κι ας είναι smart – δε φαίνεται κάτι επικίνδυνο σε αυτήν.
Στο βίντεο, ο Gray παίρνει μια συσκευή Android TV, πηγαίνει σε μια τοποθεσία third-party εφαρμογών Android και στη συνέχεια φορτώνει τον Chrome. Ο Chrome συνδέεται αυτόματα στο Google λογαριασμό του ιδιοκτήτη της τηλεόρασης και έτσι έχει πρόσβαση σε όλα τα αποθηκευμένα password και τα cookies, πράγμα που σημαίνει επίσης πρόσβαση στο Gmail, τις Google Photos, το ιστορικό συνομιλιών, τα αρχεία στο Drive, τους λογαριασμούς στο YouTube, το AdSense, κάθε ιστότοπο που επιτρέπει τη σύνδεση στο Google και εν μέρει τα στοιχεία της πιστωτικής κάρτας. Όλα αυτά είναι διαθέσιμα χωρίς κανέναν έλεγχο ασφαλείας.
Όπως επισημαίνεται στο βίντεο του Gray, οι συσκευές Android TV μπορούν να είναι dongles, set-top boxes ή κώδικας που εγκαθίσταται απευθείας σε μια τηλεόραση. Σε επιχειρήσεις και ξενοδοχεία, μπορούν να είναι κοινόχρηστες συσκευές. Αυτό σημαίνει πώς αν συνδέσετε τον Google λογαριασμό σας στην Android TV ενός ξενοδοχείου και δεν τον διαγράψετε πριν φύγετε, κάποιος κακόβουλος θα μπορέσει να αποκτήσει πρόσβαση σε ολόκληρο τον λογαριασμό σας. Αντίστοιχα και αν πάτε για επιδιόρθωση την Android TV συσκευή σας και δεν αποσυνδέσετε το account σας πριν την αφήσετε στα χέρια του τεχνικού.
Η Google λέει ότι έχει διορθώσει αυτό το πρόβλημα, αν και δεν εξηγεί πώς. Η δήλωση της εταιρείας λέει: «Οι περισσότερες Google TV συσκευές τρέχουν πλέον τις τελευταίες εκδόσεις του λογισμικού που δεν επιτρέπει αυτή τη συμπεριφορά. Βρισκόμαστε στη διαδικασία διάθεσης ενός updated και στις υπόλοιπες συσκευές. Η καλύτερη πρακτική ασφάλειας, είναι οι χρήστες να ενημερώνουν πάντα τις συσκευές τους με την τελευταία έκδοση λογισμικού».
Πολλές συσκευές Android TV, ειδικά αυτές που είναι ενσωματωμένες σε τηλεοράσεις, δεν παίρνουν update και τρέχουν μια παλιά έκδοση του λογισμικού Android, αλλά το σύστημα λογαριασμού της Google μπορεί να ενημερωθεί μέσω του Play Store, οπότε υπάρχει μεγάλη πιθανότητα να κυκλοφορήσει μια διόρθωση στις περισσότερες συσκευές.
Πηγή: Ars Technica
