一些运行 Android TV 的电视会遇到以下问题安全漏洞,报告我们 404Media 的同事。正如摄像师 Cameron Gray 在 YouTube 视频中演示的那样,使用一些小技巧就可以访问电视所有者的 Gmail 帐户。但是,要实现此目的,您必须能够实际访问电视。
据视频拍摄者称,正在连接您的 Google 帐户“到 Android TV 设备”能“让有权访问电视的任何人完全访问您的 Gmail、Google 云端硬盘以及您使用 Google 帐户注册的任何服务”。因此,此次泄露不仅仅涉及 Gmail。这就是为什么卡梅伦·格雷建议不要“切勿使用重要的 Google 帐户登录 Android TV”。
Chrome、APK、键盘和鼠标
首先,想要访问您电子邮件的人将安装网络浏览器在电视上通过Play 商店。在这种情况下,YouTuber 选择了 TV Bro。然后,攻击者将在网络上找到 Google Chrome APK 文件。使用此文件,它将在电视上安装 Chrome。要导航 Chrome,您需要使用无线键盘和鼠标。事实上,谷歌的浏览器并不是为电视遥控器而设计的。这是操作的唯一限制。
这就是入侵者实现其目标的地方。他所要做的就是访问 gmail.com 即可阅读目标的所有电子邮件。事实上,操作系统会自动将Google帐户连接到Chrome浏览器。这怎么可能?当您在 Android TV 设备上连接 Google 帐户时,该连接将始终保持活动状态。通过这种方法,您可以登录 Play 商店中您已授权的所有应用程序,而无需每次都重新登录。事实上,Chrome 提供 Gmail 访问权限是有意义的,尽管这存在隐私风险。
谷歌承诺修复
据媒体报道,民主党参议员罗恩·怀登的办公室得知了卡梅伦·格雷的视频。意识到这一缺陷后,该公司联系了谷歌。起初,这家山景城巨头认为这并不是一个真正的漏洞,但后来又改变了主意。谷歌现已承诺纠正这种情况:
“大多数运行最新软件版本的 Google TV 设备已经不允许这种行为。我们正在为其余设备推出修复程序。”
据谷歌称,摄像师使用的方法不适用于所有运行 Android TV 的电视。无论如何,我们一如既往地建议您通过系统地安装制造商部署的所有更新来使所有设备保持最新状态。在等待修复期间,您可以为 Android TV 使用与主帐户不同的专用 Google 帐户。
来源 : 404媒体
