Video: Обзор Google Glass 2 — новая версия (September 2024)
Tidigare den här veckan skrev vi om hur vissa funktioner i Google Glass kan användas som attackvektorer. Tja mild läsare, det har redan skett: Lookout har meddelat att de har upptäckt en kritisk sårbarhet i Google Glass. Tack och lov har Google redan korrigerat problemet.
Lookouts viktigaste säkerhetsanalytiker Marc Rogers berättade för SecurityWatch som upptäckte en sårbarhet i hur den bärbara datorn bearbetade QR-koder. På grund av Glass begränsade användargränssnitt skapade Google enhetens kamera för att automatiskt behandla alla QR-koder på ett fotografi.
"I motsats till det är det en riktigt spännande utveckling, " sade Rogers. "Men frågan är det ögonblick Glass ser en kommandokod det känner igen, det kör den." Med denna kunskap kunde Lookout producera skadliga QR-koder som tvingade Glass att utföra åtgärder utan användarens vetskap.
Glasgjutet och skadlig Wi-Fi
Den första skadliga QR-koden Lookout skapades skulle initiera en "Glass-cast" utan användarens vetskap. För de oinitierade delar Glass-casting vad som visas på Google Glass-skärmen till en parad Bluetooth-enhet.
Rogers påpekade att detta faktiskt var en kraftfull funktion. "Om du tittar på glasets UI kan det bara bäras av en enda person, " förklarade han. Med glasgjutning kan bäraren dela sin åsikt med andra människor. Lookouts skadliga QR-kod utlöste dock en glasgjutning helt utan användarens vetskap.
Även om idén att någon kan se en skärm som är så intimt placerad i ansiktet är extremt oroande, har attacken några uppenbara begränsningar. Först och främst måste en angripare vara tillräckligt nära för att ta emot överföringen via Bluetooth. Dessutom måste en angripare koppla ihop sin Bluetooth-enhet till ditt Google Glass, vilket kräver fysisk åtkomst. Även om Rogers påpekar att det inte skulle vara svårt eftersom Glass, "har ingen låsskärm och du kan bekräfta bara genom att trycka på den."
Mer besvärande var en andra skadlig QR-kod som Lookout skapade, som tvingade Glass att ansluta till ett utsedd Wi-Fi-nätverk så snart det skannades. "Utan att ens inse det är ditt glas anslutet till hans åtkomstpunkt och han kan se din trafik, " sade Rogers. Han tog scenariot ett steg längre och sa att angriparen kunde "svara med en webbsårbarhet, och vid den tidpunkten blir Glass hackat."
Detta är bara exempel, men det underliggande problemet är att Google aldrig redogjorde för scenarier där användare omedvetet skulle fotografera en QR-kod. En angripare kan helt enkelt posta en skadlig QR-kod på en populär turistplats eller klä upp QR-koden som en frestande. Oavsett leveransmetod, skulle resultatet vara osynligt för användaren.
Google till räddningen
När Lookout hittat sårbarheten rapporterade de det till Google som sköt ut en fix inom två veckor. "Det är ett bra tecken på att Google hanterar dessa sårbarheter och behandlar dem som ett programvaruproblem, " sade Rogers. "De kan lägga ut uppdateringarna tyst och fixa sårbarheter innan användare till och med känner till problemet."
I den nya versionen av Glass-programvaran måste du navigera till en relevant inställningsmeny innan en QR-kod kan träda i kraft. För att använda en QR-kod för att ansluta till ett Wi-Fi-nätverk måste du till exempel vara i nätverksinställningsmenyn. Glass kommer nu också att informera användaren om vad QR-koden gör, och be tillåtelse innan den körs.
Det nya systemet antar att du vet vad QR-koden kommer att göra innan du skannar den, vilket tydligen är vad Google avsåg från början. Förutom Glass skapade Google en följeslagarapp för Android-telefoner som skapar QR-koder så att användare snabbt kan konfigurera sina Glass-enheter. Google såg helt enkelt inte QR-koder som en väg för attack.
I framtiden
När jag pratade med Rogers var han väldigt optimistisk för framtiden för Glass och produkter som det. Han sa att hastigheten på Googles svar och hur lätt uppdateringen implementerades var föredömlig. Jag kan dock inte låta bli att se på det sprickade Android-ekosystemet och oroa mig för att framtida enheter och sårbarheter kanske inte hanteras så felfri.
Rogers jämförde problemen med Glass med de som finns i medicinsk utrustning, som upptäcktes för år sedan men som fortfarande inte har tagits fullständigt upp. "Vi kan inte hantera som statisk hårdvara med firmware som vi aldrig uppdaterar, " sade han. "Vi måste vara smidiga."
Trots sin optimism hade Rogers några försiktighetsord. "Nya saker betyder nya sårbarheter, " sade han. "De dåliga killarna anpassar sig och försöker olika saker."
