يتمتع Android TV بإمكانية الوصول إلى حسابك بالكامل، ولكن Google تعمل على تغيير ذلك

قالت شركة جوجل إنها قامت بتصحيح ثغرة سيئة في نظام أمان حساب Android TV، والتي من شأنها أن تمنح المهاجمين إمكانية الوصول الفعلي إلى جهازك، والوصول إلى حساب Google الخاص بك بالكامل فقط عن طريق تحميل بعض التطبيقات. مثل 404 وسائل الإعلام وفقًا للتقارير، تم لفت انتباه Google إلى هذه المشكلة في الأصل من قبل السيناتور الأمريكي رون وايدن (ديمقراطي من ولاية أوريغون) كجزء من “مراجعة ممارسات الخصوصية لموفري تكنولوجيا البث التلفزيوني”. أخبرت جوجل السيناتور في الأصل أن المشكلة كانت سلوكًا متوقعًا، ولكن بعد التغطية الإعلامية، قررت تغيير موقفها وإصدار نوع من التصحيح.

وقال وايدن لـ 404 Media: “مكتبي في منتصف الطريق من خلال مراجعة ممارسات الخصوصية لموفري تكنولوجيا البث التلفزيوني”. “كجزء من هذا التحقيق، اكتشف طاقم العمل لدي مقطع فيديو مثيرًا للقلق أظهر فيه أحد مستخدمي YouTube كيف أنه من خلال 15 دقيقة من الوصول غير الخاضع للرقابة إلى جهاز فك التشفير Android TV، يمكن للمجرم الوصول إلى رسائل البريد الإلكتروني الخاصة لمستخدم Gmail الذي قام بإعداد تلفزيون.”

الفيديو المعني كان إعلان خدمة عامة من يوتيوب كاميرون جرايويظهر أن الاستيلاء على أي جهاز Android TV وتحميل بعض التطبيقات جانبًا سيمنح الوصول إلى حساب Google الحالي. يعد هذا أمرًا واضحًا إذا كنت تعرف كيفية عمل Android، ولكنه ليس واضحًا لمعظم المستخدمين الذين ينظرون إلى واجهة تلفزيون محدودة.

جوهر المشكلة هو كيفية تعامل Android مع حسابك في Google. منذ أن بدأ نظام التشغيل على الهواتف، يبدأ كل جهاز يعمل بنظام Android بافتراض أنه جهاز خاص لشخص واحد. لقد قامت Google ببناء هذه الميزة على رأس هذه الميزة من خلال دعم متعدد المستخدمين وحسابات الضيوف، ولكنها ليست جزءًا من تدفق الإعداد الافتراضي، وقد يكون من الصعب العثور عليها، وربما يتم تعطيلها في العديد من صناديق Android TV. والنتيجة هي أن تسجيل الدخول إلى جهاز Android TV غالبًا ما يمنحه إمكانية الوصول إلى حسابك في Google بالكامل.

يتمتع Android بنظام حساب Google مركزي تتم مشاركته من خلال مليون خلفية وعمليات مزامنة تتمحور حول Google، ومتجر Play، وجميع تطبيقات Google تقريبًا. عند تشغيل جهاز Android لأول مرة، يطلب الإعداد الموجه حساب Google، والذي من المتوقع أن يبقى على الجهاز إلى الأبد باعتباره الحساب الأساسي للمالك. يحصل أي تطبيق Google جديد تضيفه إلى جهازك تلقائيًا على إمكانية الوصول إلى مستودع حساب Google المركزي هذا، لذلك إذا قمت بإعداد الهاتف ثم قمت بتثبيت Google Keep، فسيتم تسجيل الدخول تلقائيًا إلى Keep وسيتمكن من الوصول إلى ملاحظاتك. أثناء الإعداد الأولي، حيث يمكنك تثبيت 10 تطبيقات مختلفة تستخدم حساب Google، سيكون من المزعج إدخال اسم المستخدم وكلمة المرور الخاصين بك مرارًا وتكرارًا.

نظام الحساب المركزي هذا هو جوعان بالنسبة لحسابات Google، فإن أي حساب Google تستخدمه لتسجيل الدخول إلى أي تطبيق من تطبيقات Google يتم امتصاصه في نظام الحساب المركزي، حتى إذا رفضت الإعداد الأولي. من الأمور المزعجة الشائعة أن يكون لديك حساب Google Workspace في العمل، ثم قم بتسجيل الدخول إلى Gmail للبريد الإلكتروني للعمل ثم يتعين عليك التعامل مع حساب العمل غير المفيد هذا الذي يظهر في متجر Play والخرائط والصور وما إلى ذلك.

بالنسبة لأجهزة التلفاز، يمثل هذا مشكلة فريدة من نوعها، لأنه على الرغم من أنك ستظل مجبرًا على تسجيل الدخول لتنزيل شيء ما من متجر Play، فإنه ليس من الواضح للمستخدم أنك تمنح هذا الجهاز حق الوصول إلى حسابك في Google بالكامل – بما في ذلك احتمالية أشياء حساسة مثل سجل المواقع ورسائل البريد الإلكتروني والرسائل. بالنسبة للمستخدم العادي، يعرض جهاز التلفزيون فقط “أشياء تلفزيونية” مثل توصيات YouTube وبعض تطبيقات Play Store الخاصة بالتلفزيون، لذلك قد لا تعتبرها عملية تسجيل دخول عالية الحساسية. ولكن إذا قمت فقط بتحميل عدد قليل من تطبيقات Google، فيمكنك الوصول إلى أي شيء. ومن الأمور المربكة أيضًا استراتيجية OAuth الخاصة بشركة Google، والتي تعلم المستخدمين أن هناك أشياء مثل الوصول المحدود إلى حساب Google على أجهزة أو مواقع تابعة لجهات خارجية، لكن Android لا يعمل بهذه الطريقة.

في الفيديو، يمسك Gray ببساطة بجهاز Android TV، وينتقل إلى موقع تطبيقات Android التابع لجهة خارجية، ثم يقوم بتحميل Chrome بشكل جانبي. يقوم Chrome بتسجيل الدخول تلقائيًا إلى حساب Google الخاص بمالك التلفزيون ويتمتع بإمكانية الوصول إلى جميع كلمات المرور وملفات تعريف الارتباط، مما يعني الوصول إلى Gmail والصور وسجل الدردشة وملفات Drive وحسابات YouTube وAdSense وأي موقع يسمح بتسجيل الدخول إلى Google والجزئي معلومات بطاقة الائتمان. كل هذا متاح في Chrome دون أي فحوصات أمنية. ستبدأ التطبيقات الفردية مثل Gmail وصور Google في العمل على الفور أيضًا.

وكما يشير فيديو Gray، يمكن أن تكون أجهزة Android TV عبارة عن أجهزة دونجل، أو أجهزة فك التشفير، أو رمز مثبت مباشرة في التلفزيون. وفي الشركات والفنادق، يمكن أن تكون أجهزة شبه عامة. كما أنه ليس من الصعب أن نتصور وقوع جهاز تلفزيون في أيدي شخص آخر. قد لا تقلق كثيرًا بشأن نسيان جهاز Chromecast بقيمة 30 دولارًا في غرفة فندق، أو قد تسجل الدخول إلى تلفزيون الفندق وتنسى حذف حسابك، أو قد تتخلص من جهاز تلفزيون ولا تفكر مرتين في الحساب الذي تم تسجيل الدخول إليه . إذا تمكن أحد المهاجمين من الوصول إلى أي من هذه الأجهزة لاحقًا، فمن السهل فتح حساب Google الخاص بك بالكامل.

وتقول جوجل إنها قامت بإصلاح هذه المشكلة، على الرغم من أنها لا توضح كيفية القيام بذلك. وجاء في بيان الشركة إلى 404 أن “معظم أجهزة Google TV التي تعمل بأحدث الإصدارات من البرامج لا تسمح بالفعل بهذا السلوك الموضح. نحن بصدد طرح إصلاح لبقية الأجهزة. وكأفضل ممارسة أمنية، فإننا ننصح المستخدمين دائمًا بتحديث أجهزتهم إلى أحدث البرامج.

العديد من أجهزة Android TV، وخاصة تلك المدمجة في أجهزة التلفزيون، هي برامج مهجورة وتقوم بتشغيل إصدار قديم من البرنامج، ولكن نظام حساب Google قابل للتحديث عبر متجر Play، لذلك هناك فرصة جيدة لطرح الإصلاح على معظم الأجهزة.