一些運行 Android TV 的電視會遇到以下問題安全漏洞,報告我們 404Media 的同事。正如攝影師 Cameron Gray 在 YouTube 影片中所示範的那樣,使用一些小技巧就可以存取電視所有者的 Gmail 帳戶。但是,要實現此目的,您必須能夠實際存取電視。
據影片拍攝者稱,正在連接您的 Google 帳戶“到 Android TV 裝置”能“讓任何有權訪問電視的人完全訪問您的 Gmail、Google 雲端硬碟以及您使用 Google 帳戶註冊的任何服務”。因此,此次洩漏不僅涉及 Gmail。這就是為什麼卡梅倫·格雷建議不要“切勿使用重要的 Google 帳戶登入 Android TV”。
Chrome、APK、鍵盤和滑鼠
首先,想要存取您電子郵件的人將安裝網頁瀏覽器在電視上透過Play 商店。在這種情況下,YouTuber 選擇了 TV Bro。然後,攻擊者將在網路上找到 Google Chrome APK 檔案。使用此文件,它將在電視上安裝 Chrome。要導航 Chrome,您需要使用無線鍵盤和滑鼠。事實上,Google的瀏覽器並不是為電視遙控器而設計的。這是操作的唯一限制。
這就是入侵者實現目標的地方。他所要做的就是訪問 gmail.com 即可閱讀目標的所有電子郵件。事實上,作業系統會自動將Google帳號連接到Chrome瀏覽器。這怎麼可能?當您在 Android TV 裝置上連接 Google 帳戶時,該連線將始終保持活動狀態。透過這種方法,您可以登入 Play 商店中您已授權的所有應用程序,而無需每次都重新登入。事實上,Chrome 提供 Gmail 存取權限是有意義的,儘管這存在隱私風險。
谷歌承諾修復
據媒體報道,民主黨參議員羅恩·懷登的辦公室得知了卡梅倫·格雷的影片。意識到這一缺陷後,該公司聯繫了谷歌。起初,這家山景城巨頭認為這並不是一個真正的漏洞,但後來又改變了主意。谷歌現已承諾糾正這種情況:
「大多數運行最新軟體版本的 Google TV 裝置已經不允許這種行為。我們正在為其餘設備推出修復程序。
據谷歌稱,攝影師使用的方法不適用於所有運行 Android TV 的電視。無論如何,我們一如既往地建議您透過系統地安裝製造商部署的所有更新來使所有設備保持最新狀態。在等待修復期間,您可以為 Android TV 使用與主帳戶不同的專用 Google 帳戶。
來源 : 404媒體
![[影片測試]華碩Zenfone Max:市場上最好的自主性](https://webbedxp.com/tech/misha/app/uploads/2016/03/4.jpg)
