Brecha no Android TV libera acesso ao Gmail sem senha

Os dados do Gmail e Drive podem ser facilmente acessados pelo Android TV, caso tenha logado a sua conta do Google no dispositivo. É o que mostra um vídeo publicado no YouTube, que expôs a brecha para ao instalar o Chrome e acessar as versões web das plataformas com um teclado e mouse.

• Qual é o melhor sistema para TV box ou smart TV?
• Android TV x Google TV: quais as diferenças entre os dois sistemas?

Gmail e Drive no Android TV

A descoberta veio à tona no canal do YouTube de Cameron Gray, em janeiro. Durante o vídeo, o entusiasta de tecnologia mostra a configuração inicial de um dispositivo com Android TV, que consiste em fazer login na conta do Google para aproveitar os conteúdos da Play Store.

Esse processo é similar ao que acontece nas demais versões do Android para celulares e tablets, que solicita a credencial tanto para ter acesso à loja de aplicativos quanto para ativar a sincronização dos e-mails, calendário, contatos, arquivos e mais da sua conta.

Ao contrário dos dispositivos móveis, o Android TV não vem com o Chrome instalado de fábrica. No entanto, isso pode ser facilmente contornado ao baixar aplicativos correspondentes, que oferecem acesso a páginas da web com o controle remoto.

Os apps alternativos em si não têm acesso direto às contas do Google. Assim como acontece ao instalar Edge, Firefox e outros navegadores no celular, você precisa fazer login novamente para entrar no Gmail e afins. Por outro lado, os browsers do Android TV te ajudam a baixar o APK do Chrome — e aí vem o pulo do gato.

Novamente, similarmente ao Android para celulares e tablets, o Chrome é profundamente integrado ao sistema operacional. Isso significa que, ao abri-lo, você consegue sincronizar as informações da conta Google cadastrada na TV com um único toque, sem ter que fazer login novamente, o que libera o acesso às versões web do Gmail, Drive e afins.

Mesmo assim, o Chrome no Android TV não aceita comandos pelo controle remoto. Para usá-lo, é necessário instalar um teclado e mouse no dispositivo, seja pela porta USB ou Bluetooth — o que, convenhamos, não é muito complicado, apesar de exigir acesso físico ao aparelho.

Afinal, isso é uma falha de segurança?

Para começo de conversa, esse é o comportamento normal e esperado do Chrome em instalações do Android com serviços do Google. Ou seja, não é necessariamente um incidente de segurança no sentido mais técnico da palavra, mas ainda é uma grande brecha de privacidade, pois qualquer pessoa com acesso à TV pode realizar esse processo.

O problema fica ainda maior ao considerar que, no geral, esses dispositivos são acessados sem senha, ao contrário dos celulares, tablets e PCs. Sendo assim, qualquer pessoa com acesso físico à televisão poderia, em tese, realizar o procedimento e bisbilhotar os e-mails e documentos alheios — o que, por si, configura uma falha de segurança.

Essa situação pode ser prejudicial caso acesse a conta do Google em TVs compartilhadas de ambientes públicos, como uma empresa, e esqueça de deslogar ao finalizar o uso, por exemplo. Contudo, mesmo em casa pode ser um problema se a pessoa estiver com alguém que não respeita a privacidade dos demais.

Google vai tapar a brecha

Depois que foi procurado sobre o caso pelo gabinete do senador dos Estados Unidos Ron Wyden, que está revisando as práticas de privacidade das plataformas de streaming, o Google primeiro disse que era um comportamento esperado. Porém, em um posicionamento ao portal 404 Media, a empresa reconheceu o problema.

“Estamos cientes desse cenário potencial em que pessoas mal-intencionadas que obtiveram acesso físico a um dispositivo de TV podem substituir manualmente as configurações padrão para fazer o sideload de aplicativos do Google normalmente restritos a uma TV e acessar os serviços do Google na conta conectada”, afirmou a empresa.

O Google também explicou que os dispositivos que executam as versões mais recentes do software não permitem esse comportamento descrito. Mas ainda falta alterar os demais: “estamos no processo de implementação de uma correção para o restante dos dispositivos. Como prática recomendada de segurança, sempre aconselhamos os usuários a atualizar seus dispositivos com o software mais recente”, concluiu a companhia.

Fonte: 404 Media