Videó: Обзор Google Glass 2 — новая версия (November 2024)
A hét elején arról írtunk, hogy a Google Glass egyes funkciói hogyan használhatók támadási vektorokként. Nos, szelíd olvasó, ez már bekövetkezett: A Lookout bejelentette, hogy felfedezték a Google Glass kritikus sebezhetőségét. Szerencsére a Google már javította a problémát.
A Lookout fő biztonsági elemzője, Marc Rogers elmondta a SecurityWatch-nek, hogy felfedezett egy sebezhetőséget abban, hogy a hordható számítógép hogyan dolgozta fel a QR-kódokat. A Glass korlátozott felhasználói felülete miatt a Google beállította az eszköz kameráját, hogy automatikusan feldolgozza a fényképen szereplő összes QR-kódot.
"Ezzel szemben egy igazán izgalmas fejlesztés" - mondta Rogers. "De a kérdés az a pillanat, amikor Glass látja a felismert parancskódot, és végrehajtja azt." Ezzel a tudással a Lookout képes rosszindulatú QR-kódokat előállítani, amelyek kényszerítették a Glass-ot a felhasználó tudta nélküli műveletek végrehajtására.
Üvegöntvény és rosszindulatú Wi-Fi
Az első rosszindulatú QR-kód, amelyet a Lookout létrehozott, a felhasználó tudta nélkül "Üvegöntvényt" indítana. A nem kezelt üvegöntvény megosztja a Google Glass képernyőjén megjelenő képeket egy párosított Bluetooth-eszközzel.
Rogers rámutatott, hogy valójában ez egy hatalmas tulajdonság. "Ha az üveg felhasználói felületét nézi, azt csak egy ember viselheti" - magyarázta. Az üvegöntvény segítségével a viselő megoszthatja véleményét más emberekkel. A Lookout rosszindulatú QR-kódja azonban a felhasználó tudása nélkül teljes üvegöntést váltott ki.
Miközben az az elképzelés, hogy valaki képes egy olyan képernyőt megtekinteni, amely olyan alaposan van az arcodra, rendkívül zavaró, a támadásnak vannak bizonyos nyilvánvaló korlátai. Mindenekelőtt a támadónak elég közel kell lennie ahhoz, hogy Bluetooth-on keresztül fogadhassa az átvitelt. Sőt, egy támadónak párosítania kell Bluetooth-eszközét a Google Glass-zal, amely fizikai hozzáférést igényel. Noha Rogers rámutat arra, hogy ezt nem lenne nehéz elvégezni, mert a Glassnak "nincs zárképernyője, és csak megérinti."
A további aggodalomra ad okot egy második rosszindulatú QR-kód Lookout, amely kényszerítette a Glass-t, hogy csatlakozzon a kijelölt Wi-Fi hálózathoz, mihelyt beolvasta. "Anélkül, hogy észrevennénk, az Üveged kapcsolódik a hozzáférési pontjához, és láthatja a forgalmat" - mondta Rogers. Egy lépéssel tovább vette a forgatókönyvet, mondván, hogy a támadó "reagálhat egy webes sebezhetőséggel, és ezen a ponton Glass megszakad".
Ezek csak példák, de az alapvető kérdés az, hogy a Google soha nem számolt be olyan forgatókönyvekről, amelyekben a felhasználók akaratlanul fényképeznének egy QR-kódot. A támadó egyszerűen rosszindulatú QR-kódot helyezhet el egy népszerű turisztikai helyszínen, vagy csábítóként öltözheti el a QR-kódot. Bármi legyen is a kézbesítés módja, az eredmény láthatatlan lenne a felhasználó számára.
Google a mentőnek
Miután a Lookout felfedezte a sebezhetőséget, bejelentették a Google-nak, aki két héten belül kiküszöbölte a javítást. "Jó jel, hogy a Google kezeli ezeket a sebezhetőségeket, és szoftverproblémaként kezeli őket" - mondta Rogers. "Csendben el tudják adni a frissítéseket és kijavíthatják a sérülékenységeket, még mielőtt a felhasználók tudomást szereznének a problémáról."
A Glass szoftver új verziójában a QR-kód érvénybe lépése előtt navigálnia kell a megfelelő beállítások menübe. Ha például QR-kódot szeretne használni a Wi-Fi hálózathoz való csatlakozáshoz, akkor először a hálózati beállítások menüben kell lennie. A Glass emellett tájékoztatja a felhasználót arról, hogy mit csinál a QR-kód, és végrehajtás előtt kér engedélyt.
Ez az új rendszer feltételezi, hogy tudja, mit fog tenni a QR-kód, mielőtt beolvassa, és ez látszólag az, amit a Google a kezdetektől akart. A Glass mellett a Google létrehozott egy társalkalmazást az Android telefonokhoz, amely QR-kódokat hoz létre, hogy a felhasználók gyorsan konfigurálhassák Glass eszközöket. A Google egyszerűen nem látta a QR-kódokat a támadás lehetőségének.
A jövőben
Amikor Rogers-szel beszéltem, nagyon optimista volt a Glass jövőjével kapcsolatban, és a termékek kedvelik. Azt mondta, hogy a Google gyors válaszlépése és a frissítés telepítésének egyszerűsége példaértékű. Nem tudok segíteni, de megnézem a törött Android-ökoszisztémát, és attól tartok, hogy a jövőbeni eszközöket és sebezhetőségeket nem lehet ilyen ügyesen kezelni.
Rogers összehasonlította az Üveggel kapcsolatos kérdéseket az orvosi berendezésekben tapasztaltakkal, amelyeket évekkel ezelőtt fedeztek fel, de még mindig nem oldottak meg teljes mértékben. "Nem tudjuk úgy kezelni a statikus hardvert, mint a firmware-t, amelyet soha nem frissítünk" - mondta. "Gyorsan kell lennünk."
Optimizmusa ellenére Rogers néhány óvatossággal beszélt. "Az új dolgok új sebezhetőségeket jelentenek" - mondta. "A rossz fiúk alkalmazkodnak és kipróbálják a különböző dolgokat."
