黑客不会破坏你的新Google Home Hub,但谷歌在智能显示器的网络安全设置方面确实需要解决一些问题。 的种类。
它开始于安全倡导者Jerry Gamblin做了安全倡导者所做的事情,并在他连接谷歌家庭中心后扫描了他的本地网络。 他发现哪些网络端口是开放的,正在监听的,以及它们可能配置为监听的内容。
我不是物联网安全专家,但我非常确定未经身份验证的卷曲声明不应该重启@madebygoogle家庭集线器。 pic.twitter.com/gCWFm5Ofyb
- 杰里甘布林(@JGamblin),2018年10月27日
对大多数人来说,这并不意味着什么,但对其他人来说,它表明:
- Google Home Hub是一款先进的Chromecast(或者是简单的Android电视设备,可供您选择),而非联想智能显示器和其他类似产品的Android Things设备。
- 它可能“易受”Chromecast所使用的相同类型的网络命令,例如,如果您不想排队等候,这将强制进行OTA更新。
据Ars Technica报道,我们已经知道Home Hub没有像其他智能显示器那样运行相同的操作系统。 现在我们了解它正在运行的操作系统,以及如何与它“交谈”并使其成功。
Google Home Hub真的只是一个花哨的Chromecast。
想象Android安装和运行普通Android应用程序所需的东西(Dalvik和Bionic,如果你是这类东西)删除和专有的多播DNS DIAL(由Netflix和YouTube开发的发现和启动网络协议)样式二进制blob放在他们的位置。 如果您知道如何与该mDNS软件进行通信(例如Google Home应用程序),则可以使用命令行网络连接来执行基本设备功能,这些连接是指Gamblin发现的那些开放端口。
找到了! 事实证明,您可以与Google Home Hub用于通信的“秘密”API进行通信,并且您可以做的所有事情都在缓慢但肯定地被记录下来。
这包括强制重启甚至远程工厂重置命令等内容。 虽然不理想,但这些不会像我们看到的那样“堵塞”您的Google Home Hub,但您可能会被迫在手机上打开Google Home应用并重新连接。 同样重要的是要记住,您需要与家庭中心位于同一个本地网络上,因此没有人可以通过互联网进行任何此类操作。
Google需要锁定内容,以便只有 Google Home应用可以与Hub“对话”。
谷歌将不得不找到一种方法来解决这个问题,因为它已经从像XDA这样的“黑客”论坛转移到了主流。 Google Home应用程序仍然需要能够执行它现在可以执行的所有操作,但这是一种通过Home Hub进行身份验证的方法,因此网络上的另一个设备无法连接需要实现。
如果你只想让一切都运转起来,除非你有人连接到你的Wi-Fi并且喜欢弄乱东西,否则你不必太惊慌。 如果你是那些喜欢弄乱事物的人之一,我建议你在谷歌锁定远程访问未记录的 - 并且错误地向公众开放 - API之前立即加入。
无论哪种方式,天空都没有下降,你的Home Hub会很好。
