Android TV はアカウント全体にアクセスできますが、Google はそれを変更します

Googleは、Android TVアカウントセキュリティシステムの厄介な抜け穴を修正したと発表した。この抜け穴により、デバイスに物理的にアクセスできる攻撃者は、一部のアプリをサイドロードするだけでGoogleアカウント全体にアクセスできるようになる。 404 Media が報じているように、この問題はもともと「ストリーミング TV テクノロジー プロバイダーのプライバシー慣行の見直し」の一環として、ロン ワイデン上院議員 (民主党、オレゴン州) によって Google に指摘されました。 Googleは当初、この問題は予期された動作であると上院議員に伝えたが、メディア報道を受けて立場を変更し、何らかのパッチを発行することを決定した。

「私の事務所では、ストリーミングTV技術プロバイダーのプライバシー慣行の見直しの真っ最中だ」とワイデン氏は404メディアに語った。 「その調査の一環として、私のスタッフは、Android TV セットトップ ボックスに 15 分間監視なしでアクセスすると、犯罪者がどのようにして Gmail をセットアップしたユーザーのプライベート メールにアクセスできるのかを YouTuber がデモンストレーションする驚くべきビデオを発見しました。テレビ。”

問題のビデオは、YouTuber Cameron Gray による PSA で、Android TV デバイスを入手し、いくつかのアプリをサイドロードすると、現在の Google アカウントへのアクセスが許可されることを示しています。 Android の仕組みを知っていればこれは明らかですが、限られた TV インターフェイスを見ているほとんどのユーザーにとっては明らかではありません。

問題の中心は、Android が Google アカウントをどのように扱うかです。 OS が携帯電話から始まって以来、すべての Android デバイスは、プライベートな 1 人用のデバイスであるという前提から始まります。 Google は、その機能の上にマルチユーザー サポートとゲスト アカウントを構築しましたが、これらはデフォルトのセットアップ フローの一部ではなく、見つけるのが難しい場合があり、おそらく多くの Android TV ボックスで無効になっています。 その結果、Android TV デバイスにサインインすると、多くの場合、Google アカウント全体にアクセスできるようになります。

Android には、100 万の Google 中心のバックグラウンドおよび同期プロセス、Play ストア、およびほぼすべての Google アプリで共有される一元化された Google アカウント システムがあります。 Android デバイスを初めて起動すると、ガイド付きセットアップによって Google アカウントが要求されます。Google アカウントは、所有者のプライマリ アカウントとしてデバイス上に永久に存在することが期待されます。 デバイスに追加した新しい Google アプリは、この中央の Google アカウント リポジトリに自動的にアクセスできるようになります。そのため、電話をセットアップしてから Google Keep をインストールすると、Keep は自動的にサインインしてメモにアクセスできるようになります。 初期セットアップでは、Google アカウントを使用する 10 種類のアプリをインストールすることがありますが、ユーザー名とパスワードを何度も入力するのは面倒です。

この集中アカウントシステムは、 お腹がすいた そのため、初期設定を拒否した場合でも、Google アプリへのサインインに使用する Google アカウントは中央アカウント システムに取り込まれます。 よくある煩わしさは、職場で Google Workspace アカウントを持っているのに、仕事用メールとして Gmail にログインし、Play ストア、マップ、写真などにこの役に立たない仕事用アカウントが表示されることに対処しなければならないことです。

テレビの場合、これには特有の注意点があります。Play ストアから何かをダウンロードするにはログインが強制されますが、このデバイスに Google アカウント全体へのアクセスを許可していることがユーザーには明らかではないためです。ロケーション履歴、電子メール、メッセージなどの機密性の高いもの。 平均的なユーザーにとって、TV デバイスは YouTube のおすすめやいくつかの TV 固有の Play ストア アプリなどの「TV コンテンツ」を表示するだけなので、高感度のサインインとは考えないかもしれません。 しかし、さらにいくつかの Google アプリをサイドロードするだけで、あらゆるものにアクセスできるようになります。 さらに混乱を招くのは、Google の OAuth 戦略です。この戦略は、サードパーティのデバイスやサイトでは Google アカウントへの限定アクセスなどがあるが、Android ではそのようには機能しないことをユーザーに教えています。

このビデオでは、Gray は Android TV デバイスを手に取り、サードパーティの Android アプリ サイトにアクセスし、Chrome をサイドロードするだけです。 Chrome はテレビ所有者の Google アカウントに自動的にサインインし、すべてのパスワードと Cookie にアクセスできます。これは、Gmail、写真、チャット履歴、ドライブ ファイル、YouTube アカウント、AdSense、Google サインインを許可するサイト、および部分的なものにアクセスできることを意味します。クレジットカード情報。 これらはすべて、セキュリティチェックなしで Chrome で利用できます。 Gmail や Google フォトなどの個別のアプリもすぐに動作し始めます。

Gray 氏のビデオが指摘しているように、Android TV デバイスは、ドングル、セットトップ ボックス、またはテレビに直接インストールされるコードにすることができます。 ビジネスやホテルでは、半公共のデバイスになる可能性があります。 テレビ機器が他人の手に渡ることも想像に難くありません。 30 ドルの Chromecast をホテルの部屋に忘れてもあまり心配しないかもしれませんし、ホテルのテレビにサインインしてアカウントを削除するのを忘れるかもしれません。あるいは、テレビを捨ててどのアカウントにサインインしているかよく考えないかもしれません。 。 後で攻撃者がこれらのデバイスのいずれかにアクセスした場合、Google アカウント全体のロックを解除するのは簡単です。

Googleはこの問題を解決したとしているが、その方法については説明していない。 404 に対する同社の声明では、「最新バージョンのソフトウェアを実行しているほとんどの Google TV デバイスでは、この描写された動作がすでに許可されていません。現在、残りのデバイスに対して修正プログラムを展開中です。セキュリティのベストプラクティスとして、ユーザーには常にデバイスを最新のソフトウェアに更新するようアドバイスしてください。」

多くの Android TV デバイス、特にテレビに組み込まれているデバイスは放棄ウェアであり、古いバージョンのソフトウェアが実行されていますが、Google のアカウント システムは Play ストア経由で更新できるため、修正プログラムがほとんどのデバイスに展開される可能性が十分にあります。