TL;DR
- Android TV almacena el inicio de sesión de la cuenta de Google sin ninguna medida de seguridad, de lo que normalmente se puede abusar con las aplicaciones del navegador para iniciar sesión en los servicios de Google.
- Google menciona que ha solucionado la laguna en los dispositivos más nuevos que ejecutan la última versión de Google TV y que está solucionándola en otros dispositivos más antiguos.
Si eres dueño de un Televisión inteligente o un dispositivo de TV inteligente en casa, es muy probable que ejecute Android TV o Google TV (que sigue siendo Android TV debajo del capó con una capa de recomendación de contenido en la parte superior). Si es así, no deberías dejar a la gente sin supervisión cerca del televisor, ya que una vulnerabilidad bastante evidente en Android TV permite que cualquiera vea todos los datos de tu cuenta de Google e incluso comprometa tu cuenta si has iniciado sesión en Android TV.
YouTuber Cameron Gris Descubrimos esta laguna a principios de año y 404 Medios lo volvió a poner en primer plano con su informe. Según estos hallazgos, la falta de protección de seguridad de Android TV lo convierte en el dispositivo perfecto para espiar cualquier dirección de correo electrónico iniciada. Necesita acceso físico al televisor, y un mouse y un teclado facilitarían el proceso, pero aún es muy posible que un mal actor aproveche indebidamente esta laguna para comprometer las cuentas de Google presentes en el televisor.
Básicamente, cuando inicias sesión en un Android TV con tu cuenta de Google, este almacena el inicio de sesión para permitirte iniciar sesión en otras aplicaciones del televisor. Este es el comportamiento estándar de Android que vemos en los teléfonos, pero los teléfonos tienen medidas de seguridad como PIN y desbloqueo biométrico, mientras que los televisores no tienen ninguna. Ese acceso de inicio de sesión en Android TV normalmente permanece limitado a las aplicaciones que puede instalar desde Google Play Store en Android TV, y TV Play Store no muestra varias aplicaciones como Gmail, Google Chrome, otros navegadores y más.
Sin embargo, si puedes descargar Chrome en Android TV (lo cual es bastante fácil si sabes lo que estás haciendo), puedes navegar a las versiones web de Gmail o cualquier otro servicio de Google a través de Chrome e iniciar sesión automáticamente. No se necesita contraseña para iniciar sesión. y no se requiere PIN ni datos biométricos para confirmar su identidad como propietario del televisor. Una vez que haya iniciado sesión, podrá leer los correos electrónicos e incluso continuar restableciendo y asumiendo el control de la cuenta iniciada.
Google mencionó inicialmente que este es el comportamiento esperado, lo cual es exacto. Sin embargo, eso no quita que se trate de un descuido de seguridad. Sin embargo, más recientemente, Google cambió su posición y mencionó que “solucionó” el problema en los dispositivos Google TV más nuevos y está en proceso de solucionarlo en el resto.
Aquí está la declaración que Google proporcionó a 404 Medios:
Trabajamos constantemente para mejorar nuestras protecciones y ayudar a mantener seguros a los usuarios de los sistemas operativos Google TV y Android TV. Somos conscientes de este posible escenario en el que los delincuentes que han obtenido acceso físico a un dispositivo de TV pueden anular manualmente la configuración predeterminada para descargar aplicaciones de Google normalmente restringidas en un televisor y acceder a los servicios de Google en la cuenta iniciada. La mayoría de los dispositivos Google TV que ejecutan las últimas versiones de software ya no permiten este comportamiento descrito. Estamos en el proceso de implementar una solución para el resto de dispositivos. Como mejor práctica de seguridad, siempre recomendamos a los usuarios que actualicen sus dispositivos con el software más reciente.
Nos comunicamos con Google para obtener más información sobre la solución a esta laguna de seguridad.
Teniendo en cuenta la gravedad de los riesgos de esta laguna jurídica, recomendamos no iniciar sesión en ninguna cuenta importante de Google en dispositivos Android TV. Siempre he usado una cuenta de TV ficticia para mis televisores inteligentes, ya que me ayuda a mantener mis fuentes de recomendaciones y mi historial de visualización limpios y separados de mi familia. Ahora, hay aún más razones para utilizar cuentas ficticias. Y si inicias sesión en tu cuenta de Google en dispositivos de TV compartidos fuera de tu casa, como en hoteles y Airbnb, para empezar ya era una mala idea, por lo que deberías dejar de hacerlo inmediatamente de todos modos.