В январе ютубер под ником Cameron Gray опубликовал видео, в котором обнаружил серьезную проблему с конфиденциальностью в Smart-TV на Android. Из-за этой уязвимости любой злоумышленник, получивший доступ к телевизору, может также получить доступ ко всем Google-сервисам: Gmail, Google Диску и другим, куда был произведен вход с помощью учетной записи Google.
Эта уязвимость связана с настройкой программного обеспечения на этих телевизорах, и Google изначально не посчитали нужным исправлять проблему. Однако позже компания изменила свою позицию и начала активно работать над её решением.
Ютубер Грей установил на свой Android-TV браузер TV Bro и загрузил Chrome из APK-архива. После запуска Chrome он заметил, что система не предлагает ему ввести пароль от аккаунта Google. Учетная запись, которая использовалась при настройке TV, была автоматически загружена из ОС Android. Затем, также без ввода пароля, Грей смог перейти в Gmail и получить доступ к электронной почте.
Для того, чтобы украсть данные, злоумышленнику понадобится физический доступ к телевизору. Но, установив сторонний веб-браузер и другое ПО, можно потерять доступ не только к почте, но и к паролям и остальным сохраненным на ТВ данным.
После сообщения от сенатора США Рона Уайдена, Google начали работу над устранением проблемы. И сегодня появились новости о том, что уязвимость была исправлена.
Большинство устройств Google TV, на которых установлены последние версии программного обеспечения, уже не допускают такого поведения (с) Google
В настоящее время Google работает над исправлением проблемы и для остальных устройств. Представители компании отмечают, что в будущем при установке Google Chrome на Android TV токен входа не будет автоматически использоваться для открытия Gmail или Google Диска на устройстве.
Источник новости: habr.com