Algunos televisores con Android pueden exponer el contenido de las bandejas de entrada de correo electrónico de los usuarios si un atacante tiene acceso físico al televisor. Google inicialmente le dijo a la oficina del senador Ron Wyden que el problema, que es una peculiaridad de cómo se instala el software en estos televisores, era un comportamiento esperado, pero después de ser contactado por 404 Media, Google ahora dice que está abordando el problema.
El ataque es un caso marginal, pero aún resalta cómo el uso de cuentas de Google, incluso en productos que no están necesariamente diseñados para explorar datos de usuarios, puede exponer información de maneras inusuales, incluidos televisores en empresas o televisores que han sido revendidos o revenidos. regalado.
“Mi oficina se encuentra a mitad de camino en una revisión de las prácticas de privacidad de los proveedores de tecnología de transmisión de TV. Como parte de esa investigación, mi personal descubrió un video alarmante en el que un YouTuber demostró cómo con 15 minutos de acceso no supervisado a un decodificador de Android TV, un delincuente podía obtener acceso a los correos electrónicos privados del usuario de Gmail que configuró el televisor. ”, dijo el senador Ron Wyden a 404 Media en un comunicado.
💡
¿Conoce otros problemas de seguridad como este? Me encantaría saber de usted. un dispositivo que no sea de trabajo, puedes enviarme un mensaje de forma segura a Signal al +44 20 8133 5190. De lo contrario, envíame un correo electrónico usando a joseph@404media.co.
En el vídeo de enero, el YouTuber Cameron Gray expuso el problema mientras configuraba un Android TV. Describe el video como «una especie de anuncio de servicio público sobre por qué nunca debes iniciar sesión en un dispositivo Android TV con una cuenta de Google que contiene algo sensible». Además de poder acceder a cosas a las que podrías esperar que acceda un Android TV, como YouTube, Gray explica que alguien también podría «acceder básicamente a cualquier cosa relacionada con tu cuenta de Google, y eso incluye correo electrónico a través de Gmail, archivos a través de Google Drive o incluso servicios». donde ha iniciado sesión a través de Google en un servicio externo».
«Y no está muy claro que sea posible», dice.
El problema es que, aunque Google bloquea principalmente la funcionalidad de los televisores Android, sin siquiera instalar un navegador web y Chrome no está disponible para descargar desde Google Play Store, aún permite a los usuarios descargar navegadores de terceros.
En su video, Gray descarga otro navegador web llamado TV Bro. Luego navega hasta APK Pure, un archivo APK popular y descarga una copia de Chrome. Después de abrirlo, Chrome no le pide que proporcione la contraseña de su cuenta de Google. En su lugar, utilice el inicio de sesión persistente desde el sistema operativo Android subyacente que creó en la configuración. Esta versión de Chrome no está diseñada para funcionar con televisores Android y un control remoto, por lo que los atacantes podrían tener que conectar un teclado y un mouse USB. Luego, Gray navega a Gmail en Chrome y puede ver los correos electrónicos de la cuenta de Google.
«Oh, mira, mi bandeja de entrada de Gmail», dice Gray en el vídeo. Desde aquí, un atacante podría intentar acceder a otras cuentas que envían enlaces de restablecimiento de contraseña a esta dirección de Gmail.
Como dice Gray, la mayoría de las personas que usan un Android TV pueden iniciar sesión con su cuenta de Google y luego tener el televisor en su negocio o en su casa sin un PIN u otra forma de autenticación. Esto también podría aplicarse a un televisor en una oficina, o uno que un usuario vende o regala con la cuenta de Google aún iniciada. Otro caso es cuando las personas pueden iniciar sesión en un Android TV con su cuenta de Google en un alojamiento de vacaciones.
Gray no respondió a una solicitud de comentarios. En el vídeo, se recomienda que las personas utilicen una cuenta de Google desechable para su Android TV en lugar de su cuenta principal de Google.
El senador Wyden dijo: “Mi personal envió rápidamente el video a Google. Desafortunadamente, la respuesta inicial de Google indicó que se trataba de un comportamiento esperado y no de un problema de seguridad”.
Luego, 404 Media se acercó a Google para hacer comentarios. Un portavoz de Google dijo en un comunicado que “Trabajamos constantemente para mejorar nuestras protecciones para ayudar a mantener seguros a los usuarios de los sistemas operativos Google TV y Android TV. Somos conscientes de este escenario potencial en el que los delincuentes que han obtenido acceso físico a un dispositivo de TV pueden anular manualmente la configuración predeterminada para descargar aplicaciones de Google normalmente restringidas en un televisor y acceder a los servicios de Google en la cuenta iniciada”.
La declaración agrega que “la mayoría de los dispositivos Google TV que ejecutan las últimas versiones de software ya no permiten este comportamiento descrito. Estamos en el proceso de implementar una solución para el resto de dispositivos. Como mejor práctica de seguridad, siempre recomendamos a los usuarios que actualicen sus dispositivos con el software más reciente”.
Wyden añadió: «Me alegro de que Google haya cambiado de rumbo, haya reconocido que se trata de un problema de seguridad y esté empezando a solucionarlo».
Sobre el autor
Joseph es un periodista de investigación galardonado centrado en generar impacto. Su trabajo ha provocado multas por valor de cientos de millones de dólares, el cierre de empresas de tecnología y mucho más.
