Biztonságosnak tartja a Google a nemrégiben bemutatott kijelzős okoshangszórót, a Google Home Hubot is, ám egy ismert fehérkalapos hacker erről másként vélekedik.
Még október elején mutatta be a Google új okoshangszóróját, a Google Home Hubot, amit – hogy hasonló legyen az Amazon Echo Show-hoz – kijelzővel is kiegészített.
A napokban egy ismert fehérkalapos hacker, Jerry Gamblin részletezte, milyen sebezhetőségeket talált a Google Home platformon. Hosszú kódsorokon keresztül mutatta meg, hogy – ameddig a keresőóriás nem javítja ki a hibát – a Home Hub felett illetéktelen is átveheti távolról az irányítást, kihasználva egy nem biztonságos API-t (alkalmazásprogramozási felületet), amit egyébként már korábban, a Chromecastben is felfedeztek. (Távolról alatt Gamblin nem a távolságot érti, hanem azt, hogy a támadónak nincs közvetlen fizikai hozzáférése az eszközhöz). Ráadásul a szakember úgy gondolja, hogy a Google negálja a problémát, miközben tisztában van, hogy kihasználható sebezhetőségről van szó.
„Sokkolt, amikor láttam, hogy milyen gyenge ezeknek az eszközöknek az általános biztonsága” – jegyzi meg Gamblin, hozzátéve, hogy általában közvetlenül a Google-nak jelzi, ha korábban fel nem fedezett biztonsági résre bukkan, viszont ebben az esetben bizonyosan tudtak a hibáról. Gamblin olyan parancsokat is részletezett a leírásában, amelyekkel bárki újraindíthatja a Home Hubot, törölheti a konfigurált wifi hálózatot, letilthatja az eszköz biztonságával kapcsolatis értesítéseket, például a zárolást és a riasztást.
I am not an IOT security expert, but I am pretty sure an unauthenticated curl statement should not be able to reboot the @madebygoogle home hub. pic.twitter.com/gCWFm5Ofyb
— Jerry Gamblin (@JGamblin) 2018. október 27.
Az Android Authority megkereste az üggyel kapcsolatban a Google-t. A keresőóriás válasza szerint valamennyi Google Home eszköznél messzemenően figyelembe veszik a felhasználók biztonságát és magánéletük védelmét. Hardveres védelemmel ellátott rendszerindítási mechanizmus gondoskodik arról, hogy csak a Google által hitelesített kóddal lehessen használni az eszközt, ráadásul a felhasználói információkat tartalmazó bármilyen kommunikáció hitelesített és titkosított.
A Google szerint Gamblin állítása nem pontos, az említett API-t ugyanis mobilalkalmazások használják az eszköz konfigurálására, és csak akkor lehet hozzáférni, ha az alkalmazás és a Google Home eszköz (no meg a hacker) is ugyanazon a wifi hálózaton van. Nincs bizonyíték arra – mondja a Google –, hogy veszélyben lennének a felhasználói adatok.
Szép, kerek válasz, azonban van egy apró pikantériája, a Google ugyanis nem tagadja Gamblin állításának jogosságát, csak épp azt adott környezetbe (wifi hálózat) helyezi, azaz csak akkor lehet gond, ha a hacker valahogy belépne az otthoni hálózatba. Szóval a felhasználó dolga, hogy minél jobban megvédje a hálózatát.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.