Din Google Home Hub kan kontrolleras av ett odokumenterat API. Det avslöjar utvecklaren Jerry Gamblin som säger sig ha hittat flera allvarliga sårbarheter i mjukvaran till nya Home Hub-produkten.
- Utvecklare visar kod som kan styra Google Home Hub
- Ska tillåta nära full obehörig åtkomst via nätverket
- Google svarar kraftfullt på utvecklarens säkerhetspåståenden
- Ska du köpa en Google Home-pryl? Här kan du läsa om vilken du bör köpa!
Jerry Gamblin publicerade en lång artikel med hundratals kodrader om sina fynd. Och när man läser innehållet blir det tydligt att Gamblin är minst sagt förfärad över hur dålig säkerheten är i Google Home Hub.
Bland annat skriver han att ”säkerheten i nya Google Home Hub är bortom värdelös” och ”tillåter nära full obehörig åtkomst på avstånd av en odokumenterad API”.
Med API:t ska det vara busenkelt att köra kommandon som potentiellt blir en säkerhetsrisk för ägaren. Det går bland annat att starta om Google Home Hub, ta bort det inställda WiF-nätverket och byta detta, samt stänga av alla notifikationer.
Jerry demonstrerar även hur han med några rader kod kan tvinga alla Google Home-prylar på samma nätverk att starta om sig. Och det kan bland annat användas för att tvinga dem till en ändlös loop av omstarter, oavsett vad ägaren gör.
Google tycker inte att Home Hub är osäker
Så frågan är nu om man vågar köpa en Google Home Hub eller inte. Är det någon risk att all din personliga data blir åtkomlig för hackare? Varför har inte Google stoppat all försäljning av denna osäkra pryl?
Svaret från Google är väldigt enkelt – Home Hub är inte alls osäker på det sättet som Jerry försöker ge sken av. Visst fungerar koden som utvecklaren publicerat, men de kräver att hackare redan finns på ditt interna nätverk.
“All Google Home devices are designed with user security and privacy top of mind and use a hardware-protected boot mechanism to ensure that only Google-authenticated code is used on the device. In addition, any communication carrying user information is authenticated and encrypted. A recent claim about security on Google Home Hub is inaccurate. The APIs mentioned in this claim are used by mobile apps to configure the device and are only accessible when those apps and the Google Home device are on the same Wi-Fi network. Despite what’s been claimed, there is no evidence that user information is at risk.”
Det betyder att de har åtkomst till alla dina prylar och inte bara Google Home Hub. Och API:et som demonstreras är implementerat för att mobila appar ska kunna konfigurera Home-enheterna över nätverket.
Google markerar tydligt att användarnas information inte är i fara. Och nu är frågan om Jerry tänker möta svaret från Google.
Fortfarande rekommenderat att köpa Google Home Hub
Google Home Hub är inte släppt i Sverige och kan bara köpas på ett litet antal marknader. Bland annat i USA och Storbritannien. Det är fullt möjligt att importera och använda Home Hub i Sverige med svenskt språkstöd, men räkna inte med att det fungerar optimalt.
De säkerhetspåståenden som Jerry skriver om är inte tillräckliga för att vi ska avråda från ett köpa av Google Home Hub. Om en hackare får åtkomst till ditt hemnätverk så är Home Hub inte den första prylen du ska vara nervös över.
Och recensionerna kring Home Hub visar tydligt att det här är en riktigt schysst pryl att ha i sin ägo – om man har investerat sitt liv hos Google vill säga. För cirka 1 600 kronor inklusive moms (exklusive frakt) får du en smart högtalare som kan visa bilder, videor, recept och mycket annat på en praktisk skärm.
Nu är det bara att man ska lyckas få tag på ett exemplar utan att det kostar skjortan i frakt. Har du några tips och råd? Skriv en kommentar och berätta!
Om du är teknisk och nyfiken på koden bakom påståendena om dålig säkerhet kan du läsa Jerrys artikel här.