研究稱谷歌Home Hub存在諸多安全隱患 能被遠程控制

　　本站訊 北京時間10月31日上午消息，谷歌首次涉足智能顯示器領域并且推出了Google Home Hub，產品得到大家的一致好評。然而，根據一項安全審查，事實情況可能有所不同。一位研究人員聲稱這項設備的安全性“令人大失所望”。當然，谷歌肯定是否認這些說法的。

　　Google Home Hub無法像JBL Link View、Lenovo Smart Display等其他智能助手顯示器在安卓系統上運行，而是使用谷歌的Cast Platform。根據近期的一次采訪，似乎是因為公司對于Cast Platform更加熟悉才做出此決定的。

　　研究人員杰里·甘布林（Jerry Gamblin）表示，這一決定就使得設備可能面臨諸多安全隱患。根據他的研究，使用不安全的應用程序接口可以在一些情況下遠程控制Home Hub。據此，甘布林能夠利用command prompt命令讓Google Home Hub重新啟動。

　　“過去兩個晚上，我一直在研究Google Home Hub的安全性，結果令人大失所望。通過（非正式）的應用程序接口，可以不經身份驗證就能進行遠程控制?！?/p>

　　這里提到的API是Google Home應用程序用于連接設備的。更重要的是，這已經不是新聞媒體第一次報道此“安全漏洞”了。今年早些時候出現了更為嚴重的安全問題，即它可以揭露Chromecast或Google Home設備的準確位置（精確到街道地址）。

　　在上一次被曝出安全漏洞之后，谷歌修補了此漏洞，但是其他問題似乎依然未去處理。無所畏懼的黑客和研究人員還在繼續利用該應用程序接口存在的問題進行嘗試。

　　谷歌對此發表聲明：“所有的Google Home設備在設計時都將用戶安全和隱私問題置于首位，設備采用了受硬件保護的啟動機制，進而確保只有谷歌認證的代碼可以在設備上使用。此外，任何攜帶用戶信息的對話內容都經過了驗證和加密。

　　最近有關于Google Home Hub安全性問題的言論都是不準確的。此聲明中提到的應用程序接口是手機應用用于配置設備的，只有在這些應用與Google Home設備使用相同WiFi網絡的情況下才可以進入。盡管此言論描述了一些問題，但沒有證據表明用戶信息存在風險。”

　　谷歌并未給出明確的判定，雙方都有理可據。但谷歌聲稱該API是用于配置設備且不會透露個人信息時，這其實已經驗證了我們在非官方文件中發現的事實。

　　甘布林提出了一個非常合理的觀點，即該應用程序接口至少可以進行身份驗證，而不必完全開放。這對谷歌來說可能是輕松就能修復的問題，但鑒于谷歌已經不是第一次因此應用程序接口而備受抨擊了，想來事情也不會太快發生轉變。(堆堆)