Представители Google сообщили, что исправили ошибку, с помощью которой злоумышленники могли получать доступ к аккаунту пользователя через устройства на Android TV. В компании не пояснили в чём была причина ошибки и каким образом её исправили.
О проблеме несколько месяцев назад рассказал блогер Камерон Грей (Cameron Gray). Он опубликовал видео, в котором показал как можно получить доступ к аккаунту пользователя приставки на Android TV. Для этого он прошёл первичную настройку устройства и вошёл в аккаунт, имитируя поведение обычного пользователя. Из этого режима нельзя получить доступ к личным данным пользователя.
После этого он скачал Google Chrome на стороннем сайте и установил приложение. Камерон запустил браузер, а система нашла активный аккаунт на устройстве и предложила автоматически войти в него без пароля. В этом режиме уже можно просматривать электронные письма и получить доступ ко всем данным, связанным с профилем. Android TV не просит снова ввести пароль, а Chrome сам предлагает продолжить использование с авторизованным аккаунтом.
Камерон отмечает, что пользователи часто входят в свои профили Google на умных телевизорах в отелях. Некоторые берут с собой компактные TV-приставки в путешествия. Если забыть выйти из аккаунта или потерять само устройство, то любой пользователь сможет войти в аккаунт и получить доступ к конфиденциальным данным.
Google отчиталась, что исправила эту ошибку. В последних версиях Android TV злоумышленники не смогут использовать уязвимость. Компания уже начала рассылать обновления и рекомендует не игнорировать их.
