谷歌已向第二代Chromecast（2015年）和Chromecast Audio設(shè)備的所有者發(fā)出緊急通知，警告不要進(jìn)行出廠重置，因?yàn)橐粋€(gè)與過(guò)期安全證書(shū)相關(guān)的全球性故障導(dǎo)致這些設(shè)備無(wú)法正常運(yùn)行。

故障的技術(shù)剖析

此次故障源于一個(gè)過(guò)期的X.509v3中級(jí)CA證書(shū)（SHA-256指紋：42:D6:3C:83:4E:4E:83:36:F4:2D:80:12:18:B0:FA:64:ED:CB:91:DD），該證書(shū)用于設(shè)備認(rèn)證。

該證書(shū)的有效期從2015年3月12日至2025年3月9日，是Chromecast硬件信任鏈驗(yàn)證的一部分。證書(shū)過(guò)期后，包括Chrome、Android的Cast SDK和Google Home應(yīng)用在內(nèi)的谷歌客戶端開(kāi)始拒絕連接，從而在設(shè)置或投屏嘗試中觸發(fā)sscr-s4010-2203-2280-g（“不可信設(shè)備”）錯(cuò)誤。

Reddit用戶tchebb的分析顯示，基于Chromium的客戶端現(xiàn)在強(qiáng)制執(zhí)行證書(shū)鏈的過(guò)期檢查，這與2016年之前忽略有效期的實(shí)現(xiàn)不同。雖然像VLC這樣的非官方客戶端未受影響，但谷歌對(duì)嚴(yán)格CASTV2協(xié)議認(rèn)證的執(zhí)行導(dǎo)致了官方集成的“變磚”。

影響與谷歌的應(yīng)對(duì)措施

自2015年以來(lái)售出的超過(guò)2000萬(wàn)臺(tái)設(shè)備受到影響，用戶報(bào)告了設(shè)置失敗、投屏圖標(biāo)消失以及設(shè)備在Home應(yīng)用中被標(biāo)記為“離線”的問(wèn)題。

谷歌的Nest團(tuán)隊(duì)在其論壇上承認(rèn)了這一問(wèn)題，并表示：“我們已經(jīng)意識(shí)到一個(gè)正在出現(xiàn)的問(wèn)題……請(qǐng)不要對(duì)設(shè)備進(jìn)行出廠重置?！比欢?，這一警告在中斷開(kāi)始20小時(shí)后才發(fā)出，導(dǎo)致許多用戶在進(jìn)行重置后陷入困境。

受影響的設(shè)備包括：

• 第二代Chromecast（型號(hào)H2A2、H2B2）
• Chromecast Audio（型號(hào)N0A6）

由于更新了證書(shū)鏈，較新的Chromecast with Google TV和Ultra型號(hào)未受影響。

臨時(shí)解決方案與風(fēng)險(xiǎn)

已進(jìn)行出廠重置的用戶可以暫時(shí)通過(guò)以下方法繞過(guò)此問(wèn)題：

• 手動(dòng)將手機(jī)/平板的日期設(shè)置為2025年3月7日，通過(guò)Google Home完成設(shè)置，然后恢復(fù)為自動(dòng)時(shí)間。
• 在Android上通過(guò)ADB/Activity Manager使用com.google.android.gms.cast.settings.CastSettingsCollapsingDebugAction繞過(guò)設(shè)備認(rèn)證。
• 對(duì)于Chrome用戶，使用--cast-developer-certificate-path=chromecast-ica-3.pem啟動(dòng)瀏覽器，以強(qiáng)制信任已過(guò)期的CA。

然而，這些方法會(huì)禁用證書(shū)固定，使設(shè)備面臨中間人攻擊的潛在風(fēng)險(xiǎn)。谷歌尚未確認(rèn)這些臨時(shí)解決方案是否與其即將發(fā)布的修復(fù)程序沖突，預(yù)計(jì)該修復(fù)程序?qū)⑸婕靶扪a(bǔ)Play Services、Chrome和Home應(yīng)用版本，以將過(guò)期的CA列入白名單。

此次事件凸顯了物聯(lián)網(wǎng)生態(tài)系統(tǒng)中長(zhǎng)期證書(shū)管理的風(fēng)險(xiǎn)。盡管谷歌已于2024年8月停止生產(chǎn)Chromecast，但由于生命周期規(guī)劃不充分，該公司仍面臨強(qiáng)烈反對(duì)。

隨著用戶轉(zhuǎn)向如20美元的ONN 4K流媒體播放器等替代品，此次中斷強(qiáng)調(diào)了在連接設(shè)備中采用模塊化、用戶可替換的認(rèn)證框架的必要性。谷歌尚未提供解決方案的時(shí)間表，但可能會(huì)優(yōu)先考慮服務(wù)器端更新，以盡量減少對(duì)OEM固件補(bǔ)丁的依賴。