Google dice que ha reparado una laguna desagradable en el sistema de seguridad de la cuenta de Android TV, que otorgaría a los atacantes con acceso físico a su dispositivo acceso a toda su cuenta de Google simplemente descargando algunas aplicaciones. Como informa 404 Media, el tema fue señalado originalmente a la atención de Google por el senador estadounidense Ron Wyden (D-Ore.) como parte de una «revisión de las prácticas de privacidad de los proveedores de tecnología de transmisión de TV». Google originalmente le dijo al senador que el problema era un comportamiento esperado pero, después de la cobertura de los medios, decidió cambiar su postura y emitir algún tipo de parche.
«Mi oficina se encuentra a mitad de camino en una revisión de las prácticas de privacidad de los proveedores de tecnología de transmisión de TV», dijo Wyden a 404 Media. «Como parte de esa investigación, mi personal descubrió un video alarmante en el que un YouTuber demostró cómo con 15 minutos de acceso no supervisado a un decodificador de Android TV, un delincuente podía obtener acceso a los correos electrónicos privados del usuario de Gmail que configuró el TELEVISOR.»
El video en cuestión fue un anuncio de servicio público del YouTuber Cameron Gray y muestra que tomar cualquier dispositivo Android TV y descargar algunas aplicaciones otorgará acceso a la cuenta actual de Google. Esto es obvio si sabes cómo funciona Android, pero no lo es para la mayoría de los usuarios que miran una interfaz de TV limitada.
El meollo del problema es cómo trata Android su cuenta de Google. Desde que el sistema operativo comenzó en los teléfonos, cada dispositivo Android comienza con el supuesto de que es un dispositivo privado de una sola persona. Google ha aprovechado esa característica con soporte multiusuario y cuentas de invitado, pero estas no son parte del flujo de configuración predeterminado, pueden ser difíciles de encontrar y probablemente estén deshabilitadas en muchas cajas de TV con Android. El resultado es que iniciar sesión en un dispositivo Android TV a menudo le da acceso a toda su cuenta de Google.
Android tiene un sistema de cuentas de Google centralizado compartido por un millón de procesos de sincronización y en segundo plano centrados en Google, Play Store y casi todas las aplicaciones de Google. Cuando inicia un dispositivo Android por primera vez, la configuración guiada solicita una cuenta de Google, que se espera que permanezca en el dispositivo para siempre como la cuenta principal del propietario. Cualquier nueva aplicación de Google que agregue a su dispositivo obtiene acceso automáticamente a este repositorio central de cuentas de Google, por lo que si configura el teléfono y luego instala Google Keep, Keep inicia sesión automáticamente y obtiene acceso a sus notas. Durante la configuración inicial, en la que puedes instalar 10 aplicaciones diferentes que usan una cuenta de Google, sería molesto ingresar tu nombre de usuario y contraseña una y otra vez.
Este sistema de cuentas centralizado es hambriento para cuentas de Google, por lo que cualquier cuenta de Google que utilice para iniciar sesión en cualquier aplicación de Google quedará absorbida por el sistema de cuentas central, incluso si rechaza la configuración inicial. Una molestia común es tener una cuenta de Google Workspace en el trabajo, luego iniciar sesión en Gmail para recibir el correo electrónico del trabajo y luego tener que lidiar con esta cuenta de trabajo inútil que aparece en Play Store, Mapas, Fotos, etc.
Para los televisores, esto presenta un problema único porque, si bien aún estará obligado a iniciar sesión para descargar algo de Play Store, no es obvio para el usuario que le está otorgando a este dispositivo acceso a toda su cuenta de Google, incluso a potencialmente cosas sensibles como historial de ubicaciones, correos electrónicos y mensajes. Para el usuario promedio, un dispositivo de TV solo muestra «material de TV», como sus recomendaciones de YouTube y algunas aplicaciones de Play Store específicas para TV, por lo que es posible que no lo considere un inicio de sesión de alta sensibilidad. Pero si descargas algunas aplicaciones más de Google, podrás acceder a cualquier cosa. Aún más confuso es la estrategia OAuth de Google, que enseña a los usuarios que hay cosas como el acceso limitado a una cuenta de Google en dispositivos o sitios de terceros, pero Android no funciona de esa manera.
En el video, Gray simplemente toma un dispositivo Android TV, va a un sitio de aplicaciones de Android de terceros y luego descarga Chrome. Chrome inicia sesión automáticamente en la cuenta de Google del propietario del televisor y tiene acceso a todas las contraseñas y cookies, lo que significa acceso a Gmail, Fotos, historial de chat, archivos de Drive, cuentas de YouTube, AdSense, cualquier sitio que permita el inicio de sesión de Google y parcial. información de tarjeta de crédito. Todo está disponible en Chrome sin ningún control de seguridad. Las aplicaciones individuales como Gmail y Google Photos también empezarían a funcionar inmediatamente.
Como señala el video de Gray, los dispositivos Android TV pueden ser dongles, decodificadores o códigos instalados directamente en un televisor. En comercios y hoteles pueden ser dispositivos semipúblicos. Tampoco es difícil imaginar que un dispositivo de televisión caiga en manos de otra persona. Es posible que no te preocupes demasiado por olvidar un Chromecast de $30 en una habitación de hotel, o puedes iniciar sesión en el televisor de un hotel y olvidarte de eliminar tu cuenta, o puedes tirar un televisor y no pensar dos veces en qué cuenta está conectado. . Si un atacante obtiene acceso a cualquiera de estos dispositivos más adelante, es trivial desbloquear toda su cuenta de Google.
Google dice que ha solucionado este problema, aunque no explica cómo. La declaración de la compañía al 404 dice: «La mayoría de los dispositivos Google TV que ejecutan las últimas versiones de software ya no permiten este comportamiento descrito. Estamos en el proceso de implementar una solución para el resto de los dispositivos. Como mejor práctica de seguridad, Siempre recomiende a los usuarios que actualicen sus dispositivos con el software más reciente”.
Muchos dispositivos Android TV, especialmente aquellos integrados en televisores, son abandonware y ejecutan una versión antigua del software, pero el sistema de cuentas de Google se puede actualizar a través de Play Store, por lo que es muy probable que se pueda implementar una solución en la mayoría de los dispositivos.