Android TV имеет доступ ко всей вашей учетной записи, но Google меняет это

Android TV имеет доступ ко всей вашей учетной записи, но Google меняет это


Android TV имеет доступ ко всей вашей учетной записи, но Google меняет это

Как технический энтузиаст, который внимательно следил за экосистемой Android в течение многих лет, я глубоко обеспокоен этим недавним открытием, касающимся потенциальной лазейки в безопасности в системе учетных записей Android TV. Последствия получения злоумышленником доступа ко всей учетной записи Google посредством физического доступа к устройству Android TV вызывают тревогу, и это подчеркивает существенный недосмотр в том, как Google обращается с учетными записями своих пользователей на этих устройствах.


Недавно компания Google сообщила, что устранила значительную уязвимость в системе безопасности учетной записи Android TV. Этот недостаток позволял неавторизованным пользователям, имеющим физический доступ к вашему устройству, получить доступ ко всей вашей учетной записи Google, устанавливая определенные приложения посредством загрузки неопубликованных приложений. По данным 404 Media, об этой проблеме первоначально сообщил Google сенатор США Рон Уайден (демократ от штата Орегон) во время проверки конфиденциальности поставщиков технологий потокового телевидения. Первоначально Google утверждал, что такое поведение было ожидаемым, но после освещения в СМИ они решили выпустить патч, чтобы исправить проблему.

Во время продолжающейся оценки процедур конфиденциальности моего офиса в отношении компаний, занимающихся потоковыми телевизионными технологиями, я рассказал 404 Media следующее: моя команда наткнулась на тревожное видео. В ходе него человек, оставшийся без присмотра всего на 15 минут, смог получить доступ к личной электронной почте пользователя Gmail, к чьей приставке Android TV он имел доступ.

Рассматриваемое видео, созданное ютубером Кэмероном Греем, демонстрирует, что установки определенных приложений на устройство Android TV посредством боковой загрузки достаточно, чтобы получить доступ к связанной учетной записи Google. Хотя это может быть интуитивно понятно для тех, кто знаком с внутренней работой Android, это может стать неожиданностью для многих пользователей, использующих более оптимизированный интерфейс экранов своих телевизоров.

Можно перефразировать это: суть вопроса заключается в том, как Android обрабатывает вашу учетную запись Google. Изначально разработанные для индивидуального использования на мобильных телефонах, устройства Android предполагают в качестве своей основы персональную однопользовательскую настройку. Хотя Google расширил эту функциональность за счет многопользовательской поддержки и гостевых учетных записей, эти функции обычно скрыты от просмотра во время стандартного процесса настройки устройства и, вероятно, деактивированы на многих приставках Android TV. Следовательно, вход в устройство Android TV часто предоставляет ему доступ ко всей вашей учетной записи Google.

Как аналитик, я бы перефразировал это следующим образом: Android работает с единой инфраструктурой учетных записей Google, которая используется примерно миллионом фоновых процессов, ориентированных на Google, механизмами синхронизации, Play Store и большинством приложений Google. При первом запуске устройства Android процесс установки запрашивает привязку учетной записи Google. Эта учетная запись должна оставаться основной на устройстве на протяжении всего его использования. Когда вы устанавливаете новое приложение Google на свое устройство, оно получает доступ к этому централизованному хранилищу учетных записей Google без необходимости дополнительного входа в систему. На начальном этапе установки, когда вы можете установить несколько приложений, требующих учетной записи Google, необходимость многократного ввода имени пользователя и пароля может быть довольно утомительной.

Эта централизованная система учетных записей имеет сильную склонность к включению учетных записей Google. Следовательно, любая учетная запись Google, используемая для входа в любое приложение Google, попадает в центральную систему учетных записей, независимо от вашего первоначального согласия. Распространенное разочарование возникает, когда у кого-то есть учетная запись Google Workspace для рабочих целей, а затем он входит в Gmail для профессионального доступа к электронной почте. К сожалению, эта рабочая учетная запись может нежелательно появляться в различных приложениях, таких как Play Store, Карты и Фотографии.

Когда дело доходит до телевизоров, здесь есть скрытая ловушка: хотя для загрузки контента из Play Store вам необходимо войти в свою учетную запись Google, пользователям не сразу понятно, предоставляют ли они этому устройству доступ ко всей своей учетной записи Google. Конфиденциальная информация, такая как история местоположений, электронные письма и сообщения, потенциально может оказаться под угрозой. Для большинства пользователей телевизор — это всего лишь платформа для просмотра «телевизионных материалов», таких как рекомендации YouTube и некоторые приложения Play Store, поэтому они могут не рассматривать его как устройство с высоким риском для входа в систему. Однако, установив несколько дополнительных Google приложений, вы можете получить доступ к более обширным функциям. Еще больше путаницы добавляет стратегия Google OAuth, которая обычно позволяет пользователям предоставлять определенные разрешения сторонним устройствам или веб-сайтам. К сожалению, Android не следует этой модели, из-за чего пользователям сложнее понять последствия входа в систему на телевизоре.

В видео Грей получает устройство Android TV и загружает браузер Chrome из стороннего источника приложений. После установки Chrome синхронизируется с соответствующей учетной записью Google, предоставляя доступ ко всем сохраненным паролям и файлам cookie. Сюда входят Gmail, Фотографии, история чата, файлы на Диске, учетные записи YouTube, AdSense и частичная информация о кредитной карте. Все эти сервисы становятся доступны через Chrome без каких-либо дополнительных мер безопасности. Мгновенно начинают работать такие приложения, как Gmail и Google Photos.

С точки зрения исследователя, устройства Android TV бывают различных форм, таких как ключи, приставки или программное обеспечение, устанавливаемое непосредственно на смарт-телевизоры. В профессиональных условиях, таких как предприятия и гостиницы, их можно считать полуобщественными устройствами. Эти устройства нередко переходят из рук в руки, будь то забывание Chromecast в гостиничном номере, вход в гостиничный телевизор без последующего удаления вашей учетной записи или выбрасывание телевизора без учета связанной учетной записи Google. Если злоумышленнику позже удастся получить доступ к любому из этих устройств Android TV, он сможет легко разблокировать всю вашу учетную запись Google.

Согласно сообщению Google по номеру 404, большинство устройств Google TV, на которых недавно было обновлено программное обеспечение, больше не поддерживают описанное поведение. В настоящее время они работают над распространением решения на остальные устройства. Для оптимальной безопасности они рекомендуют пользователям обновлять свои устройства новейшим программным обеспечением.

Устройства Android TV, интегрированные во многие телевизоры, часто работают на устаревших версиях программного обеспечения. Однако, поскольку систему учетных записей Google можно обновить через Play Store, существует высокая вероятность того, что решения станут доступны для большинства устройств.

Смотрите также

2024-04-27 00:26