Hacker werden Ihren neuen Google Home Hub nicht blockieren, aber Google muss einige Dinge in Bezug auf die Netzwerksicherheitseinstellungen des Smart Displays korrigieren. So'ne Art.
Es begann, als der Sicherheitsanwalt Jerry Gamblin das tat, was ein Sicherheitsanwalt tut, und sein lokales Netzwerk durchsuchte, nachdem er seinen Google Home Hub angeschlossen hatte. Er fand heraus, welche Netzwerkports offen und empfangsbereit waren und wofür sie wahrscheinlich konfiguriert waren.
Ich bin kein IOT-Sicherheitsexperte, aber ich bin mir ziemlich sicher, dass eine nicht authentifizierte Curl-Anweisung den @madebygoogle Home Hub nicht neu starten kann. pic.twitter.com/gCWFm5Ofyb
- Jerry Gamblin (@JGamblin), 27. Oktober 2018
Für die meisten Menschen bedeutet dies nicht viel, für andere zeigt sich jedoch Folgendes:
- Der Google Home Hub ist ein fortschrittliches Chromecast-Gerät (oder ein heruntergekommenes Android TV-Gerät, wählen Sie aus) und kein Android Things-Gerät wie das Lenovo Smart Display und andere ähnliche Produkte.
- Es ist wahrscheinlich "anfällig" für die gleichen Arten von Netzwerkbefehlen wie Chromecasts, wie diese, die ein OTA-Update erzwingen, wenn Sie lieber nicht in der Schlange warten möchten.
Wir wussten bereits, dass auf dem Home Hub nicht dasselbe Betriebssystem wie auf anderen Smart Displays ausgeführt wird, wie Ars Technica berichtete. Jetzt wissen wir etwas mehr darüber, auf welchem Betriebssystem es ausgeführt wird und wie man mit ihm "spricht" und es dazu bringt, Dinge zu tun.
Der Google Home Hub ist wirklich nur ein schickes Chromecast.
Stellen Sie sich Android mit den Dingen vor, die zum Installieren und Ausführen normaler Android-Apps (Dalvik und Bionic, wenn Sie sich für diese Art von Dingen interessieren) und einem proprietären Multicast-DNS-DIAL-Binärblob (Discovery and Launch- Netzwerkprotokoll, entwickelt von Netflix und YouTube) erforderlich sind an ihrer Stelle fallen gelassen. Wenn Sie wissen, wie man mit dieser mDNS-Software kommuniziert, wie es die Google Home-App tut, können Sie grundlegende Gerätefunktionen über eine Befehlszeilen-Netzwerkverbindung mit den von Gamblin gefundenen offenen Ports ausführen.
Eureka! Es hat sich herausgestellt, dass Sie mit dieser "geheimen" API kommunizieren können, die ein Google Home Hub für die Kommunikation verwendet, und dass alle möglichen Aktionen langsam, aber sicher dokumentiert werden.
Dies beinhaltet Dinge wie das Erzwingen eines Neustarts oder sogar einen Befehl zum Zurücksetzen auf die Werkseinstellungen. Obwohl dies nicht ideal ist, wird Ihr Google Home Hub nicht so "gemauert", wie wir es bisher gesehen haben. Sie könnten jedoch gezwungen sein, die Google Home-App auf einem Telefon zu öffnen und erneut eine Verbindung herzustellen. Denken Sie auch daran, dass Sie sich im selben lokalen Netzwerk wie der Home Hub befinden müssen, damit niemand dies über das Internet tun kann.
Google muss die Dinge sperren, damit nur die Google Home-App mit dem Hub "sprechen" kann.
Google muss jetzt einen Weg finden, dies zu verhindern, da es von "Hacker" -Foren wie XDA weg und in den Mainstream verschoben wird. Die Google Home-App muss noch in der Lage sein, alles zu tun, was sie jetzt kann. Es muss jedoch eine Möglichkeit zur Authentifizierung bei einem Home Hub implementiert werden, damit ein anderes Gerät im Netzwerk keine Verbindung herstellen kann.
Wenn Sie nur möchten, dass alles funktioniert, müssen Sie nicht zu alarmiert sein, es sei denn, Sie haben jemanden mit Ihrem WLAN verbunden, der gerne mit Dingen herumspielt. Wenn Sie zu den Leuten gehören, die gerne mit Dingen herumspielen, empfehlen wir Ihnen, jetzt damit zu beginnen, bevor Google den Remotezugriff auf die undokumentierte und fälschlicherweise für die Öffentlichkeit zugängliche API sperrt.
In jedem Fall fällt der Himmel nicht und Ihr Home Hub wird in Ordnung sein.
