Una vulnerabilità di sicurezza individuata in Android TV può consentire a un malintenzionato di accedere alla posta di Gmail dell’account con il quale è stato effettuato l’accesso sulla smart TV.
Questo è possibile perché il sistema operativo Android TV tratta l’accesso all’account Google del proprietario come persistente, consentendogli di accedere automaticamente alle app consentite dal Play Store.
Google non consente l’installazione di Chrome su Android TV, ma esiste una soluzione alternativa per poterlo installare, consentendo a un malintenzionato di accedere a Gmail e quindi reimpostare password e altro ancora.
Dopo aver trovato su YouTube un video su come fare una cosa del genere, l’ufficio del senatore americano Ron Wyden ha inviato il video a Google che inizialmente ha affermato che si trattava di un comportamento previsto.
Tuttavia, da allora la società ha aggiornato la sua posizione e in una dichiarazione ha confermato di aver implementato una modifica che impedisce questo tipo di azione, anche se Google non ha spiegato come.
Google sta aggiornando Android TV per risolvere la vulnerabilità relativa a Gmail
Ecco quanto dichiarato da Google:
“Lavoriamo costantemente per migliorare le nostre protezioni per garantire la sicurezza degli utenti di Google TV e del sistema operativo Android TV. Siamo a conoscenza di questo potenziale scenario in cui i malintenzionati che hanno ottenuto l’accesso fisico a un dispositivo TV possono ignorare manualmente le impostazioni predefinite per eseguire il sideload delle app Google normalmente limitate su una TV e accedere ai servizi Google sull’account a cui è stato effettuato l’accesso. La maggior parte dei dispositivi Google TV che eseguono le ultime versioni del software non consentono già questo comportamento illustrato. Stiamo implementando una correzione per il resto dei dispositivi. Come migliore pratica di sicurezza, consigliamo sempre agli utenti di aggiornare i propri dispositivi al software più recente.”
Nei test di questo pomeriggio il team di 9To5Google non è stato in grado di eseguire il sideload di Chrome su un dispositivo Chromecast con Google TV con gli ultimi aggiornamenti installati, nonostante abbiano provato più versioni dell’app, quindi sembra del tutto possibile che la soluzione di Google sia stata semplicemente quella di bloccare l’installazione di Chrome.