Los hackers no van a bloquear su nuevo Google Home Hub, pero Google necesita arreglar algunas cosas cuando se trata de la configuración de seguridad de red de la pantalla inteligente. Mas o menos.
Todo comenzó cuando el defensor de seguridad Jerry Gamblin hizo lo que hace un defensor de seguridad y escaneó su red local después de conectar su Google Home Hub. Descubrió qué puertos de red estaban abiertos y escuchando, y qué probablemente estaban configurados para escuchar.
No soy un experto en seguridad de IOT, pero estoy bastante seguro de que una declaración curl no autenticada no debería poder reiniciar el centro de inicio @madebygoogle. pic.twitter.com/gCWFm5Ofyb
- Jerry Gamblin (@JGamblin) 27 de octubre de 2018
Para la mayoría de las personas, esto no significa mucho, pero para otros, muestra que:
- Google Home Hub es un Chromecast avanzado (o un dispositivo Android TV tonto, elija) y no un dispositivo Android Things como Lenovo Smart Display y otros productos similares.
- Probablemente sea "susceptible" a los mismos tipos de comandos de red que los Chromecasts, como este que forzará una actualización de OTA si prefiere no esperar en la cola.
Ya sabíamos que Home Hub no ejecutaba el mismo sistema operativo que otras pantallas inteligentes, como informó Ars Technica. Ahora sabemos un poco más sobre qué sistema operativo está ejecutando y cómo "hablarle" y hacer que haga cosas.
Google Home Hub es realmente un Chromecast elegante.
Imagine Android con lo necesario para instalar y ejecutar aplicaciones normales de Android (Dalvik y Bionic si le gusta este tipo de cosas) eliminado y un DIAL de DNS de multidifusión patentado (el protocolo de red Discovery and Launch desarrollado por Netflix y YouTube) cayó en su lugar. Si supiera cómo comunicarse con ese software mDNS, como dice la aplicación Google Home, podría realizar funciones básicas del dispositivo utilizando una conexión de red de línea de comando a los puertos abiertos que encontró Gamblin.
Eureka! Resulta que puedes hablar con esa API "secreta" que un Google Home Hub está utilizando para comunicarse y todas las cosas que puedes hacer se documentan lenta pero seguramente.
Esto incluye cosas como forzar un reinicio o incluso un comando remoto de restablecimiento de fábrica. Si bien no es lo ideal, estos no "bloquearán" su Google Home Hub como hemos visto que se informa, pero podría verse obligado a abrir la aplicación Google Home en un teléfono y volver a conectarse. También es importante recordar que debe estar en la misma red local que Home Hub, para que nadie pueda hacer nada de esto a través de Internet.
Google necesita bloquear las cosas para que solo la aplicación Google Home pueda "hablar" con el Hub.
Google tendrá que encontrar una manera de reducir esto ahora que se ha alejado de los foros de "piratas informáticos" como XDA y se ha incorporado a la corriente principal. La aplicación Google Home todavía necesita poder hacer todo lo que puede hacer ahora, pero es necesario implementar una forma de autenticarse con un Home Hub para que otro dispositivo en la red no pueda conectarse.
Si solo quieres que todo funcione, no tienes que alarmarte demasiado a menos que tengas a alguien conectado a tu Wi-Fi al que le guste meterse con cosas. Si eres una de esas personas a las que les gusta meterse con cosas, te recomiendo que lo hagas ahora antes de que Google bloquee el acceso remoto a la API indocumentada, y erróneamente abierta al público.
De cualquier manera, el cielo no se está cayendo y su Home Hub estará bien.
