谷歌已向第二代Chromecast(2015年)和Chromecast Audio设备的所有者发出紧急通知,警告不要进行出厂重置,因为一个与过期安全证书相关的全球性故障导致这些设备无法正常运行。
故障的技术剖析
此次故障源于一个过期的X.509v3中级CA证书(SHA-256指纹:42:D6:3C:83:4E:4E:83:36:F4:2D:80:12:18:B0:FA:64:ED:CB:91:DD),该证书用于设备认证。
该证书的有效期从2015年3月12日至2025年3月9日,是Chromecast硬件信任链验证的一部分。证书过期后,包括Chrome、Android的Cast SDK和Google Home应用在内的谷歌客户端开始拒绝连接,从而在设置或投屏尝试中触发sscr-s4010-2203-2280-g(“不可信设备”)错误。
Reddit用户tchebb的分析显示,基于Chromium的客户端现在强制执行证书链的过期检查,这与2016年之前忽略有效期的实现不同。虽然像VLC这样的非官方客户端未受影响,但谷歌对严格CASTV2协议认证的执行导致了官方集成的“变砖”。
影响与谷歌的应对措施
自2015年以来售出的超过2000万台设备受到影响,用户报告了设置失败、投屏图标消失以及设备在Home应用中被标记为“离线”的问题。
谷歌的Nest团队在其论坛上承认了这一问题,并表示:“我们已经意识到一个正在出现的问题……请不要对设备进行出厂重置。”然而,这一警告在中断开始20小时后才发出,导致许多用户在进行重置后陷入困境。
受影响的设备包括:
- 第二代Chromecast(型号H2A2、H2B2)
- Chromecast Audio(型号N0A6)
由于更新了证书链,较新的Chromecast with Google TV和Ultra型号未受影响。
临时解决方案与风险
已进行出厂重置的用户可以暂时通过以下方法绕过此问题:
- 手动将手机/平板的日期设置为2025年3月7日,通过Google Home完成设置,然后恢复为自动时间。
- 在Android上通过ADB/Activity Manager使用com.google.android.gms.cast.settings.CastSettingsCollapsingDebugAction绕过设备认证。
- 对于Chrome用户,使用--cast-developer-certificate-path=chromecast-ica-3.pem启动浏览器,以强制信任已过期的CA。
然而,这些方法会禁用证书固定,使设备面临中间人攻击的潜在风险。谷歌尚未确认这些临时解决方案是否与其即将发布的修复程序冲突,预计该修复程序将涉及修补Play Services、Chrome和Home应用版本,以将过期的CA列入白名单。
此次事件凸显了物联网生态系统中长期证书管理的风险。尽管谷歌已于2024年8月停止生产Chromecast,但由于生命周期规划不充分,该公司仍面临强烈反对。
随着用户转向如20美元的ONN 4K流媒体播放器等替代品,此次中断强调了在连接设备中采用模块化、用户可替换的认证框架的必要性。谷歌尚未提供解决方案的时间表,但可能会优先考虑服务器端更新,以尽量减少对OEM固件补丁的依赖。
