Les pirates informatiques ne vont pas bricoler votre nouveau hub Google Home, mais Google doit régler quelques points concernant les paramètres de sécurité réseau de l'affichage intelligent. Genre de.
Cela a commencé lorsque le défenseur des droits de la sécurité, Jerry Gamblin, a fait ce qu’il fait et a analysé son réseau local après avoir connecté son hub Google Home. Il a trouvé quels ports réseau étaient ouverts et à l'écoute, et ce pour quoi ils étaient probablement configurés.
Je ne suis pas un expert en sécurité IOT, mais je suis quasiment sûr qu'une déclaration curl non authentifiée ne devrait pas pouvoir redémarrer le hub @madebygoogle Home. pic.twitter.com/gCWFm5Ofyb
- Jerry Gamblin (@JGamblin) 27 octobre 2018
Pour la plupart des gens, cela ne veut pas dire grand chose, mais pour d'autres, cela montre que:
- Le hub Google Home est un Chromecast avancé (ou un appareil Android TV insensé, à vous de choisir) et non un appareil Android Things comme le Lenovo Smart Display et d'autres produits similaires.
- Il est probablement "susceptible" de subir les mêmes types de commandes réseau que les Chromecasts, comme celle-ci, qui forcera une mise à jour OTA si vous préférez ne pas attendre en ligne.
Nous savions déjà que le Home Hub n’exécutait pas le même système d’exploitation que les autres écrans intelligents, comme le rapportait Ars Technica. Maintenant, nous en savons un peu plus sur le système d'exploitation utilisé et sur la façon de le "parler" et de le faire fonctionner.
Le hub Google Home n'est en réalité qu'un Chromecast sophistiqué.
Imaginez Android avec tout ce dont vous avez besoin pour installer et exécuter des applications Android normales (Dalvik et Bionic si vous aimez ce genre de choses) et supprimez un blob binaire de style DNS multidiffusion propriétaire DNS DIAL (protocole réseau Discovery and Launch développé par Netflix et YouTube). chuté à leur place. Si vous saviez comment communiquer avec ce logiciel mDNS, comme le fait par exemple l'application Google Home, vous pouvez exécuter les fonctions de base du périphérique à l'aide d'une connexion réseau en ligne de commande aux ports ouverts trouvés par Gamblin.
Eureka! Il s'avère que vous pouvez parler à cette API "secrète" utilisée par un hub de Google Home et que tout ce que vous pouvez faire est documenté lentement mais sûrement.
Cela inclut des choses comme forcer un redémarrage ou même une commande de réinitialisation d'usine à distance. Bien que cela ne soit pas idéal, ils ne "banderont" pas votre Google Home Hub comme indiqué précédemment, mais vous pourriez être obligé d'ouvrir l'application Google Home sur un téléphone et de vous reconnecter. Il est également important de vous rappeler que vous devez être connecté au même réseau local que le Home Hub, afin que personne ne puisse faire cela de la sorte via Internet.
Google doit verrouiller les éléments pour que seule l'application Google Home puisse "parler" au Hub.
Google va devoir trouver un moyen de réduire cela maintenant qu'il s'est éloigné des forums de "hacker" tels que XDA et est devenu le courant dominant. L'application Google Home doit encore être en mesure de faire tout ce qu'elle peut maintenant, mais un moyen de s'authentifier auprès d'un Home Hub afin qu'un autre appareil du réseau ne puisse pas se connecter doit être implémenté.
Si vous voulez simplement que tout fonctionne, vous ne devez pas être trop inquiet, à moins que vous ayez une personne connectée à votre réseau Wi-Fi qui aime jouer avec tout. Si vous êtes un de ceux qui aiment jouer avec les choses, je vous recommande de commencer maintenant avant que Google ne verrouille l'accès à distance à l'API non documentée - et ouverte par erreur au public.
Quoi qu'il en soit, le ciel ne tombe pas et votre Home Hub se portera bien.
