Acasă Securitywatch Nu te uita acum! google glass pwned by low qr code

Nu te uita acum! google glass pwned by low qr code

Video: Обзор Google Glass 2 — новая версия (Noiembrie 2024)

Video: Обзор Google Glass 2 — новая версия (Noiembrie 2024)
Anonim

La începutul acestei săptămâni, am scris despre modul în care unele caracteristici ale Google Glass ar putea fi utilizate ca vectori de atac. Ei bine, cititorul blând, a ajuns deja: Lookout a anunțat că a descoperit o vulnerabilitate critică în Google Glass. Din fericire, Google a corelat deja problema.

Analistul principal de securitate al Lookout, Marc Rogers, a declarat pentru SecurityWatch că a descoperit o vulnerabilitate în modul în care computerul purtabil a prelucrat codurile QR. Datorită interfeței de utilizator limitate, Google a configurat camera dispozitivului pentru a prelucra automat orice cod QR într-o fotografie.

"În fața ei, este o dezvoltare cu adevărat interesantă", a spus Rogers. "Dar problema este momentul în care Glass vede un cod de comandă pe care îl recunoaște, îl execută." Cu aceste cunoștințe, Lookout a fost capabil să producă coduri QR malițioase care au obligat Glass să efectueze acțiuni fără știrea utilizatorului.

Turnare din sticlă și Wi-Fi rău intenționat

Primul cod QR Lookout dăunător creat va iniția un „turn de sticlă” fără știrea utilizatorului. Pentru cei neinițiați, distribuția de sticlă partajează orice apare pe ecranul Google Glass la un dispozitiv Bluetooth asociat.

Rogers a subliniat că aceasta a fost, de fapt, o caracteristică puternică. „Dacă te uiți la UI de sticlă, acesta poate fi purtat doar de o singură persoană”, a explicat el. Cu ajutorul turnării din sticlă, purtătorul își poate împărtăși opinia cu alte persoane. Cu toate acestea, codul QR răușor al lui Lookout a declanșat un turn de sticlă în întregime fără știrea utilizatorului.

În timp ce ideea ca cineva să poată vizualiza un ecran atât de intim poziționat pe fața ta este extrem de neconcertant, atacul are unele limitări evidente. În primul rând, un atacator ar trebui să fie suficient de aproape pentru a primi transmisia prin Bluetooth. Mai mult, un atacator ar trebui să-și asocieze dispozitivul Bluetooth cu Google Glass, ceea ce ar necesita acces fizic. Deși Rogers subliniază că acest lucru nu ar fi dificil, deoarece Glass, „nu are ecran de blocare și puteți confirma doar atingând-o”.

Mai tulburător a fost creat un al doilea cod QR Lookout rău intenționat, care a obligat Glass să se conecteze la o rețea Wi-Fi desemnată imediat ce a fost scanată. „Fără să-și dea seama, paharul tău este conectat la punctul său de acces și îți poate vedea traficul”, a spus Rogers. El a făcut scenariul cu un pas mai departe, spunând că atacatorul ar putea „răspunde cu o vulnerabilitate web și, la acel moment, Glass este hacked”.

Acestea sunt doar exemple, dar problema care stă la baza este că Google nu a contat niciodată pentru scenarii în care utilizatorii ar fotografia în mod involuntar un cod QR. Un atacator ar putea pur și simplu să posteze un cod QR rău intenționat într-un loc turistic popular sau să îmbrace codul QR ca tentant. Indiferent de metoda de livrare, rezultatul ar fi invizibil pentru utilizator.

Google la salvare

Odată ce Lookout a constatat vulnerabilitatea, ei au raportat-o ​​către Google care a eliminat o soluție în două săptămâni. "Este un semn bun că Google gestionează aceste vulnerabilități și le tratează ca pe o problemă software", a spus Rogers. "Acestea pot scoate actualizările în tăcere și pot rezolva vulnerabilitățile înainte ca utilizatorii să fie chiar conștienți de problemă."

În noua versiune a software-ului Glass, trebuie să navigați într-un meniu de setări relevante înainte ca un cod QR să intre în vigoare. De exemplu, pentru a utiliza un cod QR pentru a vă conecta la o rețea Wi-Fi, trebuie să vă aflați mai întâi în meniul cu setările rețelei. De asemenea, Glass va informa utilizatorul despre ce face codul QR și va cere permisiunea înainte de a-l executa.

Acest nou sistem presupune că știți ce va face codul QR înainte de a-l scana, ceea ce aparent este ceea ce Google a intenționat de la început. Pe lângă Glass, Google a creat o aplicație de companie pentru telefoanele Android, care creează coduri QR, astfel încât utilizatorii să-și poată configura dispozitivele Glass. Google pur și simplu nu prevedea codurile QR ca o modalitate de atac.

In viitor

Când am vorbit cu Rogers, el a fost foarte optimist în legătură cu viitorul sticlei și cu produse de acest fel. El a spus că viteza de răspuns a Google și ușurința cu care actualizarea a fost implementată a fost exemplară. Cu toate acestea, nu pot să nu mă uit la ecosistemul Android fracturat și să-mi fac griji că dispozitivele și vulnerabilitățile viitoare ar putea să nu fie gestionate atât de abăt.

Rogers a comparat problemele cu Sticla cu cele găsite în echipamentele medicale, care au fost descoperite cu ani în urmă, dar încă nu au fost abordate în totalitate. "Nu putem gestiona ca un hardware static cu firmware pe care nu îl actualizăm niciodată", a spus el. „Trebuie să fim agili”.

În ciuda optimismului său, Rogers a avut câteva cuvinte de precauție. „Lucrurile noi înseamnă vulnerabilități noi”, a spus el. „Cei răi se adaptează și încearcă lucruri diferite”.

Nu te uita acum! google glass pwned by low qr code