Google hizo su primera incursión en el espacio de las pantallas inteligentes con el lanzamiento de Google Home Hub, que ha sido bien recibido por todos. Sin embargo, según una revisión de seguridad, los hechos pueden ser diferentes. Un investigador calificó la seguridad del dispositivo como "decepcionante". Por supuesto, Google ciertamente niega estas afirmaciones.
Google Home Hub no se ejecuta en Android como otras pantallas de asistente inteligente como JBL Link View, Lenovo Smart Display, etc. En su lugar, utiliza la plataforma Cast de Google. Según una entrevista reciente, parece que la decisión se tomó porque la empresa estaba más familiarizada con Cast Platform.
Según el investigador Jerry Gamblin (Jerry Gamblin), esta decisión hace que el dispositivo esté expuesto a una serie de posibles riesgos de seguridad. Según su investigación, Home Hub se puede controlar de forma remota en algunos casos utilizando una API insegura. A partir de esto, Gamblin pudo usar el símbolo del sistema para reiniciar Google Home Hub.
"He estado investigando la seguridad de Google Home Hub durante las últimas dos noches y los resultados han sido muy decepcionantes. El control remoto es posible sin autenticación a través de la API (informal)".
La API mencionada aquí es la que usa la aplicación Google Home para conectarse al dispositivo. Además, esta no es la primera vez que los medios de comunicación informan sobre esta "brecha de seguridad". A principios de este año surgió un problema de seguridad más serio que podría revelar la ubicación exacta (hasta la dirección de una calle) de un dispositivo Chromecast o Google Home.
Google corrigió la vulnerabilidad después de que se informara por última vez, pero parece que otros problemas no se abordaron. Los piratas informáticos e investigadores intrépidos continúan intentando explotar las fallas de la API.
Google emitió una declaración al respecto: "Todos los dispositivos de Google Home están diseñados teniendo en cuenta los problemas de seguridad y privacidad del usuario. El dispositivo utiliza un mecanismo de arranque protegido por hardware para garantizar que solo se pueda usar el código certificado por Google en el dispositivo. Además , cualquier contenido de diálogo que contenga información del usuario ha sido autenticado y encriptado.
Lo que se ha dicho recientemente sobre la seguridad de Google Home Hub es inexacto. Las API mencionadas en esta declaración son las que usan las aplicaciones del teléfono para configurar el dispositivo y solo se puede acceder a ellas si esas aplicaciones están en la misma red Wi-Fi que el dispositivo Google Home. Si bien esta declaración describe algunos problemas, no hay evidencia de que la información del usuario esté en riesgo. "
Google no emitió un juicio claro, y ambas partes tienen sus razones. Pero cuando Google afirma que la API se usa para configurar dispositivos y no revela información personal, en realidad ha verificado los hechos que encontramos en documentos no oficiales.
Gamblin hace un punto muy razonable de que la API al menos podría autenticarse sin estar completamente abierta. Esta podría ser una solución fácil para Google, pero dado que no es la primera vez que Google recibe críticas por las API, las cosas no cambiarán en el corto plazo.