Hackers zullen uw nieuwe Google Home Hub niet in de grond zetten, maar Google moet een paar dingen oplossen als het gaat om de netwerkbeveiligingsinstellingen van het slimme display. Soort van.
Het begon toen beveiligingsadvocaat Jerry Gamblin deed wat een beveiligingsadvocaat doet en zijn lokale netwerk scande nadat hij zijn Google Home Hub had aangesloten. Hij ontdekte welke netwerkpoorten open waren en luisterden en waarvoor ze waarschijnlijk waren geconfigureerd om naar te luisteren.
Ik ben geen IOT-beveiligingsexpert, maar ik ben er vrij zeker van dat een niet-geverifieerde curl-instructie de @madebygoogle home hub niet opnieuw kan opstarten. pic.twitter.com/gCWFm5Ofyb
- Jerry Gamblin (@JGamblin) 27 oktober 2018
Voor de meeste mensen betekent dit niet veel, maar voor anderen laat het zien dat:
- De Google Home Hub is een geavanceerde Chromecast (of verbluft Android TV-apparaat, kies maar) en geen Android Things-apparaat zoals het Lenovo Smart Display en andere vergelijkbare producten.
- Het is waarschijnlijk 'gevoelig' voor dezelfde soort netwerkopdrachten die Chromecasts zijn, zoals deze die een OTA-update afdwingen als je liever niet in de rij wacht.
We wisten al dat de Home Hub niet hetzelfde besturingssysteem gebruikte als andere slimme schermen, zoals Ars Technica meldde. Nu weten we iets meer over welk besturingssysteem het gebruikt, en hoe we ermee kunnen "praten" en dingen laten doen.
De Google Home Hub is eigenlijk gewoon een mooie Chromecast.
Stel je Android voor met de dingen die nodig zijn om normale Android-apps (Dalvik en Bionic als je van dit soort dingen houdt) te installeren en uit te voeren en een eigen multicast DNS DIAL (het Discovery and Launch- netwerkprotocol ontwikkeld door Netflix en YouTube) stijl binaire blob viel op hun plaats. Als je wist hoe je met die mDNS-software moest communiceren, zoals de Google Home-app, zou je basisapparaatfuncties kunnen uitvoeren via een opdrachtregelnetwerkverbinding met die open poorten die Gamblin vond.
Eureka! Het blijkt dat je met die 'geheime' API kunt praten die een Google Home Hub gebruikt om te communiceren en dat alle dingen die je kunt doen langzaam maar zeker worden gedocumenteerd.
Dit omvat zaken als het opnieuw opstarten of zelfs een opdracht voor fabrieksreset op afstand forceren. Hoewel dit niet ideaal is, zullen deze je Google Home Hub niet 'inkleuren' zoals we hebben gezien, maar je zou kunnen worden gedwongen om de Google Home-app op een telefoon te openen en opnieuw verbinding te maken. Het is ook belangrijk om te onthouden dat u zich op hetzelfde lokale netwerk moet bevinden als de Home Hub, zodat niemand dit via internet kan doen.
Google moet dingen vergrendelen, zodat alleen de Google Home-app met de Hub kan "praten".
Google zal een manier moeten vinden om dit vast te houden nu het is verwijderd van "hacker" -forums zoals XDA en in de mainstream. De Google Home-app moet nog steeds alles kunnen wat het nu kan, maar een manier om zichzelf te verifiëren met een Home Hub zodat een ander apparaat in het netwerk geen verbinding kan maken, moet worden geïmplementeerd.
Als je gewoon wilt dat alles werkt, hoef je niet al te gealarmeerd te zijn, tenzij je iemand hebt verbonden met je wifi die graag met dingen knoeit. Als u een van die mensen bent die graag met dingen knoeit, raad ik u aan er nu mee te beginnen voordat Google externe toegang tot de ongedocumenteerde - en per ongeluk open voor het publiek - API blokkeert.
Hoe dan ook, de lucht valt niet en je Home Hub komt goed.
