Brecha no Android TV libera acesso ao Gmail sem senha
Gambiarra em dispositivos Android TV com conta Google cadastrada libera acesso ao Gmail sem precisar fazer login
Os dados do Gmail e Drive podem ser facilmente acessados pelo Android TV, caso tenha logado a sua conta do Google no dispositivo. É o que mostra um vídeo publicado no YouTube, que expôs a brecha para ao instalar o Chrome e acessar as versões web das plataformas com um teclado e mouse.
- Qual é o melhor sistema para TV box ou smart TV?
- Android TV x Google TV: quais as diferenças entre os dois sistemas?
Gmail e Drive no Android TV
A descoberta veio à tona no canal do YouTube de Cameron Gray, em janeiro. Durante o vídeo, o entusiasta de tecnologia mostra a configuração inicial de um dispositivo com Android TV, que consiste em fazer login na conta do Google para aproveitar os conteúdos da Play Store.
Esse processo é similar ao que acontece nas demais versões do Android para celulares e tablets, que solicita a credencial tanto para ter acesso à loja de aplicativos quanto para ativar a sincronização dos e-mails, calendário, contatos, arquivos e mais da sua conta.
Ao contrário dos dispositivos móveis, o Android TV não vem com o Chrome instalado de fábrica. No entanto, isso pode ser facilmente contornado ao baixar aplicativos correspondentes, que oferecem acesso a páginas da web com o controle remoto.
Os apps alternativos em si não têm acesso direto às contas do Google. Assim como acontece ao instalar Edge, Firefox e outros navegadores no celular, você precisa fazer login novamente para entrar no Gmail e afins. Por outro lado, os browsers do Android TV te ajudam a baixar o APK do Chrome — e aí vem o pulo do gato.
Novamente, similarmente ao Android para celulares e tablets, o Chrome é profundamente integrado ao sistema operacional. Isso significa que, ao abri-lo, você consegue sincronizar as informações da conta Google cadastrada na TV com um único toque, sem ter que fazer login novamente, o que libera o acesso às versões web do Gmail, Drive e afins.
Mesmo assim, o Chrome no Android TV não aceita comandos pelo controle remoto. Para usá-lo, é necessário instalar um teclado e mouse no dispositivo, seja pela porta USB ou Bluetooth — o que, convenhamos, não é muito complicado, apesar de exigir acesso físico ao aparelho.
Afinal, isso é uma falha de segurança?
Para começo de conversa, esse é o comportamento normal e esperado do Chrome em instalações do Android com serviços do Google. Ou seja, não é necessariamente um incidente de segurança no sentido mais técnico da palavra, mas ainda é uma grande brecha de privacidade, pois qualquer pessoa com acesso à TV pode realizar esse processo.
O problema fica ainda maior ao considerar que, no geral, esses dispositivos são acessados sem senha, ao contrário dos celulares, tablets e PCs. Sendo assim, qualquer pessoa com acesso físico à televisão poderia, em tese, realizar o procedimento e bisbilhotar os e-mails e documentos alheios — o que, por si, configura uma falha de segurança.
Essa situação pode ser prejudicial caso acesse a conta do Google em TVs compartilhadas de ambientes públicos, como uma empresa, e esqueça de deslogar ao finalizar o uso, por exemplo. Contudo, mesmo em casa pode ser um problema se a pessoa estiver com alguém que não respeita a privacidade dos demais.
Google vai tapar a brecha
Depois que foi procurado sobre o caso pelo gabinete do senador dos Estados Unidos Ron Wyden, que está revisando as práticas de privacidade das plataformas de streaming, o Google primeiro disse que era um comportamento esperado. Porém, em um posicionamento ao portal 404 Media, a empresa reconheceu o problema.
"Estamos cientes desse cenário potencial em que pessoas mal-intencionadas que obtiveram acesso físico a um dispositivo de TV podem substituir manualmente as configurações padrão para fazer o sideload de aplicativos do Google normalmente restritos a uma TV e acessar os serviços do Google na conta conectada", afirmou a empresa.
O Google também explicou que os dispositivos que executam as versões mais recentes do software não permitem esse comportamento descrito. Mas ainda falta alterar os demais: "estamos no processo de implementação de uma correção para o restante dos dispositivos. Como prática recomendada de segurança, sempre aconselhamos os usuários a atualizar seus dispositivos com o software mais recente", concluiu a companhia.
Fonte: 404 Media
Trending no Canaltech:
- Reforma tributária: produtos importados serão taxados pelo IVA
- Os Simpsons | Produtor se desculpa por matar personagem clássico da série
- Nintendo Switch 2 vai abandonar os Joy-Cons atuais e trazer encaixe magnético
- Jovens não querem jogar videogame no PS5 e Xbox, revela pesquisa
- Os 20 melhores filmes de terror da nova geração
