DR
- A Android TV armazena o login da conta do Google sem quaisquer medidas de segurança, que normalmente podem ser abusadas com aplicativos de navegador para fazer login nos serviços do Google.
- O Google menciona que corrigiu a lacuna em dispositivos mais recentes que executam o Google TV mais recente e está corrigindo-a para outros dispositivos mais antigos.
Se você possui uma smart TV ou um smart TV stick em casa, há uma boa chance de que ele execute Android TV ou Google TV (que ainda é Android TV subjacente com uma camada de recomendação de conteúdo na parte superior). Se isso acontecer, você não deveria deixar as pessoas sem supervisão perto da TV, já que uma brecha bastante flagrante na Android TV permite que qualquer pessoa visualize todos os dados da sua conta do Google e até mesmo comprometa sua conta se você tiver feito login na Android TV.
O YouTuber Cameron Gray descobriu essa lacuna no início do ano e 404 Mídia trouxeram-no de volta aos holofotes com seu relatório. De acordo com essas descobertas, a falta de proteção de segurança do Android TV o torna o dispositivo perfeito para espionar qualquer endereço de e-mail conectado. Você precisa de acesso físico à TV, e um mouse e um teclado tornariam o processo mais fácil, mas ainda é bem possível que um malfeitor aproveite indevidamente essa brecha para comprometer as contas do Google presentes na TV.
Basicamente, quando você faz login em uma Android TV com sua conta do Google, ela armazena o login para permitir que você faça login em outros aplicativos na TV. Esse é o comportamento padrão do Android que vemos nos telefones, mas os telefones têm medidas de segurança como PIN e desbloqueio biométrico, enquanto as TVs não têm nenhuma. Esse acesso de login na Android TV normalmente permanece limitado aos aplicativos que você pode instalar da Google Play Store na Android TV, e a TV Play Store não exibe vários aplicativos como Gmail, Google Chrome, outros navegadores e muito mais.
No entanto, se você puder transferir o Chrome para o Android TV (o que é bastante fácil se você souber o que está fazendo), poderá navegar para as versões da Web do Gmail ou de qualquer outro serviço do Google por meio do Chrome e fazer login automaticamente. conectado e nenhum PIN ou biometria é necessário para confirmar sua identidade como proprietário da TV. Uma vez conectado, você pode ler e-mails e até mesmo prosseguir com a redefinição e controle da conta conectada.
O Google mencionou inicialmente que esse é um comportamento esperado, o que é exato. No entanto, isso não elimina o facto de se tratar de um descuido de segurança. Mais recentemente, porém, o Google mudou de posição, mencionando que “consertou” o problema nos dispositivos Google TV mais recentes e está em processo de correção nos demais.
Aqui está a declaração que o Google forneceu para 404 Mídia:
Trabalhamos constantemente para melhorar nossas proteções e ajudar a manter a segurança dos usuários do sistema operacional Google TV e Android TV. Estamos cientes desse cenário potencial em que pessoas mal-intencionadas que obtiveram acesso físico a um dispositivo de TV podem substituir manualmente as configurações padrão para fazer o sideload de aplicativos do Google normalmente restritos em uma TV e acessar os serviços do Google na conta conectada. A maioria dos dispositivos Google TV que executam as versões mais recentes do software já não permitem esse comportamento descrito. Estamos no processo de implementação de uma correção para o restante dos dispositivos. Como prática recomendada de segurança, sempre aconselhamos os usuários a atualizar seus dispositivos com o software mais recente.
Entramos em contato com o Google para saber mais sobre a solução para essa brecha de segurança.
Considerando a gravidade dos riscos desta brecha, recomendamos não fazer login em nenhuma conta importante do Google em dispositivos Android TV. Sempre usei uma conta de TV fictícia para minhas smart TVs, pois ajuda a manter meus feeds de recomendação e histórico de visualização limpos e separados da minha família. Agora, há ainda mais motivos para usar contas fictícias. E se você fizer login em sua conta do Google em dispositivos de TV compartilhados fora de sua casa, como em hotéis e Airbnb, isso já era uma má ideia para começar, então você deveria parar de fazer isso imediatamente de qualquer maneira.
