Os hackers não vão bloquear o seu novo Google Home Hub, mas o Google precisa corrigir algumas coisas quando se trata das configurações de segurança de rede da tela inteligente. Mais ou menos.
Tudo começou quando o advogado de segurança Jerry Gamblin fez o que um advogado de segurança faz e examinou sua rede local depois que ele conectou seu Google Home Hub. Ele descobriu quais portas de rede estavam abertas e escutando, e o que elas provavelmente estavam configuradas para escutar.
Não sou especialista em segurança da IOT, mas tenho certeza de que uma instrução de autenticação não autenticada não poderá reiniciar o hub inicial do @madebygoogle. pic.twitter.com/gCWFm5Ofyb
- Jerry Gamblin (@JGamblin) 27 de outubro de 2018
Para a maioria das pessoas, isso não significa muito, mas para outras, mostra que:
- O Google Home Hub é um Chromecast avançado (ou um dispositivo Android TV estúpido, faça a sua escolha) e não um dispositivo Android Things, como o Lenovo Smart Display e outros produtos similares.
- Provavelmente é "suscetível" aos mesmos tipos de comandos de rede que os Chromecasts, como este que forçará uma atualização OTA se você preferir não esperar na fila.
Já sabíamos que o Home Hub não estava executando o mesmo sistema operacional que outros monitores inteligentes, como relatado pela Ars Technica. Agora sabemos um pouco mais sobre o sistema operacional em execução e como "conversar" com ele e fazê-lo fazer as coisas.
O Google Home Hub é realmente apenas um Chromecast sofisticado.
Imagine o Android com as coisas necessárias para instalar e executar aplicativos Android normais (Dalvik e Bionic, se você gosta desse tipo de coisa) removidos e um blob binário no estilo DNS DIAL (o protocolo de descoberta e lançamento de rede desenvolvido pelo Netflix e pelo YouTube) caiu em seu lugar. Se você soubesse se comunicar com esse software mDNS, como o aplicativo Google Home faz, poderá executar funções básicas do dispositivo usando uma conexão de rede de linha de comando às portas abertas encontradas por Gamblin.
Eureka! Acontece que você pode conversar com a API "secreta" que um Google Home Hub está usando para se comunicar, e tudo o que você pode fazer está lenta mas seguramente sendo documentado.
Isso inclui coisas como forçar uma reinicialização ou mesmo um comando de redefinição de fábrica remota. Embora não seja o ideal, eles não "bloqueiam" seu Google Home Hub como vimos sendo relatados, mas você pode ser forçado a abrir o aplicativo Google Home em um telefone e se reconectar. Também é importante lembrar que você precisa estar na mesma rede local que o Home Hub, para que ninguém possa fazer isso pela Internet.
O Google precisa bloquear as coisas para que somente o aplicativo Google Home possa "conversar" com o Hub.
O Google precisará encontrar uma maneira de reprimir isso agora que se afastou de fóruns de "hackers" como o XDA e entrou no mainstream. O aplicativo Google Home ainda precisa ser capaz de fazer tudo o que pode fazer agora, mas é necessário implementar uma maneira de se autenticar com um Home Hub para que outro dispositivo na rede não possa se conectar.
Se você quer que tudo funcione, não precisa ficar muito alarmado, a menos que tenha alguém conectado ao seu Wi-Fi que goste de mexer nas coisas. Se você é uma daquelas pessoas que gosta de mexer com as coisas, recomendo que você faça isso agora antes que o Google bloqueie o acesso remoto à API não documentada - e aberta por engano ao público.
De qualquer forma, o céu não está caindo e seu Home Hub vai ficar bem.
