Video: My Custom Google Glass - 1000-ish Subscriber Special! (Oktober 2024)
Tidligere denne uge skrev vi om, hvordan nogle funktioner i Google Glass kunne bruges som angrebsvektorer. Nå blide læser, det er allerede sket: Lookout har meddelt, at de har opdaget en kritisk sårbarhed i Google Glass. Heldigvis har Google allerede rettet problemet.
Lookouts vigtigste sikkerhedsanalytiker Marc Rogers fortalte SecurityWatch, der opdagede en sårbarhed i, hvordan den bærbare computer behandlede QR-koder. På grund af Glass's begrænsede brugergrænseflade opsatte Google enhedens kamera til automatisk at behandle enhver QR-kode på et fotografi.
"På baggrund af det er det en virkelig spændende udvikling, " sagde Rogers. "Men problemet er det øjeblik, Glass ser en kommandokode, den genkender, udfører den." Med denne viden kunne Lookout fremstille ondsindede QR-koder, der tvang Glass til at udføre handlinger uden brugerens viden.
Glasstøbt og ondsindet Wi-Fi
Den første ondsindede QR-kode, der blev oprettet, ville starte et "Glass-cast" uden brugerens viden. For de uinitierede deler Glass-casting alt, hvad der vises på Google Glass-skærmen, til en parret Bluetooth-enhed.
Rogers påpegede, at dette faktisk var en stærk funktion. ”Hvis man ser på glassets UI, kan det kun bæres af en enkelt person, ” forklarede han. Med glasstøbning kan bæreren dele deres syn med andre mennesker. Lookouts ondsindede QR-kode udløste imidlertid et Glass-cast helt uden brugerens viden.
Mens ideen om, at nogen kan se en skærm, der er så intimt placeret i dit ansigt, er ekstremt foruroligende, har angrebet nogle åbenlyse begrænsninger. Først og fremmest skulle en angriber være tæt nok til at modtage transmissionen via Bluetooth. Derudover skulle en angriberen parre deres Bluetooth-enhed til dit Google Glass, hvilket kræver fysisk adgang. Selvom Rogers påpeger, at det ikke ville være vanskeligt, fordi Glass, "ikke har nogen låseskærm, og du kan bekræfte det bare ved at trykke på det."
Mere bekymrende var en anden ondsindet QR-kode Lookout oprettet, som tvang Glass til at oprette forbindelse til et udpeget Wi-Fi-netværk, så snart det blev scannet. "Uden engang at vide det, er dit glas forbundet til hans adgangspunkt, og han kan se din trafik, " sagde Rogers. Han tog scenariet et skridt videre og sagde, at angriberen kunne "reagere med en websårbarhed, og på det tidspunkt bliver Glass hacket."
Dette er bare eksempler, men det underliggende problem er, at Google aldrig har taget højde for scenarier, hvor brugere uforvarende ville fotografere en QR-kode. En angriber kunne simpelthen placere en ondsindet QR-kode på et populært turiststed eller pynte QR-koden som en fristende. Uanset leveringsmetode, ville resultatet være usynligt for brugeren.
Google til redning
Når Lookout fandt sårbarheden, rapporterede de det til Google, der skubbede ud en løsning inden for to uger. "Det er et godt tegn på, at Google administrerer disse sårbarheder og behandler dem som et softwareproblem, " sagde Rogers. "De kan slukke opdateringerne lydløst og løse sårbarheder, før brugerne endda er opmærksomme på problemet."
I den nye version af Glassoftwaren skal du navigere til en relevant indstillingsmenu, før en QR-kode kan træde i kraft. For at bruge en QR-kode for at oprette forbindelse til et Wi-Fi-netværk skal du for eksempel først være i netværksindstillingsmenuen. Glass vil også nu informere brugeren om, hvad QR-koden gør, og bede om tilladelse, før den udføres.
Dette nye system forudsætter, at du ved, hvad QR-koden vil gøre, før du scanner den, hvilket tilsyneladende er, hvad Google havde ment fra starten. Foruden Glass oprettede Google en ledsagende app til Android-telefoner, der opretter QR-koder, så brugerne hurtigt kan konfigurere deres Glass-enheder. Google forudså simpelthen ikke QR-koder som en mulighed for angreb.
I fremtiden
Da jeg talte med Rogers, var han meget optimistisk for fremtiden for Glass og produkter som det. Han sagde, at hastigheden af Googles svar og den lethed, hvorpå opdateringen blev anvendt, var eksemplarisk. Jeg kan dog ikke undgå at se på det brudte Android-økosystem og bekymre mig for, at fremtidige enheder og sårbarheder måske ikke håndteres så behørigt.
Rogers sammenlignede problemerne med Glass med dem, der findes i medicinsk udstyr, som blev opdaget for mange år siden, men som stadig ikke er blevet behandlet fuldt ud. "Vi kan ikke administrere som statisk hardware med firmware, vi aldrig opdaterer, " sagde han. "Vi er nødt til at være smidige."
På trods af sin optimisme havde Rogers nogle ord med forsigtighed. ”Nye ting betyder nye sårbarheder, ” sagde han. "De dårlige fyre tilpasser sig og prøver forskellige ting."
