Video: Обзор Google Glass 2 — новая версия (Listopad 2024)
Začátkem tohoto týdne jsme psali o tom, jak lze některé funkce Google Glass použít jako vektory útoku. Dobře jemný čtenáři, už se to stalo: Lookout oznámil, že v Google Glass objevil kritickou zranitelnost. Naštěstí společnost Google problém již vyřešila.
Hlavní analytik Lookout Marc Rogers řekl společnosti SecurityWatch, která objevila chybu zabezpečení způsobenou zpracováním QR kódů nositelným počítačem. Vzhledem k omezenému uživatelskému rozhraní Glassu Google nastavila kameru zařízení tak, aby automaticky zpracovávala jakýkoli QR kód na fotografii.
„Na první pohled je to opravdu vzrušující vývoj, “ řekl Rogers. "Ale problém je ve chvíli, kdy Glass uvidí příkazový kód, který rozpozná, provede ho." Díky těmto znalostem byl Lookout schopen produkovat škodlivé QR kódy, které přinutily Glass provádět akce bez vědomí uživatele.
Sklo obsažené a škodlivé Wi-Fi
První vytvořený škodlivý kód QR Lookout by inicioval "Glass-cast" bez vědomí uživatele. U nezasvěcených sdílí Glass-casting sdílení toho, co se objeví na obrazovce Google Glass, na spárované zařízení Bluetooth.
Rogers poukázal na to, že to byla vlastně mocná funkce. „Když se podíváte na uživatelské rozhraní skla, může ho nosit pouze jedna osoba, “ vysvětlil. S Glass-cast může nositel sdílet svůj názor s ostatními lidmi. Škodlivý QR kód aplikace Lookout však spustil obsazení skla zcela bez vědomí uživatele.
I když představa, že někdo bude schopen zobrazit obrazovku tak důvěrně umístěnou na vaší tváři, je velmi znepokojující, útok má určitá zřejmá omezení. V první řadě by útočník musel být dostatečně blízko, aby mohl přijímat přenos přes Bluetooth. Útočník by navíc musel své zařízení Bluetooth spárovat s vaším sklem Google Glass, což by vyžadovalo fyzický přístup. Ačkoli Rogers zdůrazňuje, že by to nebylo obtížné, protože Glass, „nemá uzamknutou obrazovku a můžete to potvrdit pouhým klepnutím.“
Více znepokojivé bylo vytvoření druhého škodlivého kódu QR Lookout, který nutil Glass, aby se připojil k určené síti Wi-Fi, jakmile bude naskenován. „Aniž by si to uvědomil, vaše Sklo je připojeno k jeho přístupovému bodu a může vidět vaši komunikaci, “ řekl Rogers. Scénář provedl o krok dále a řekl, že útočník by mohl „reagovat webovou zranitelností a v tom okamžiku bude Glass napaden“.
Toto jsou pouze příklady, ale základním problémem je, že Google nikdy nezohlednil scénáře, kdy by uživatelé nevědomky vyfotografovali QR kód. Útočník by mohl jednoduše vložit škodlivý QR kód do oblíbeného turistického místa nebo jej oblékat jako lákavé. Ať už je způsob doručení jakýkoli, výsledek by byl pro uživatele neviditelný.
Google k záchraně
Jakmile aplikace Lookout zjistila tuto chybu zabezpečení, oznámila ji společnosti Google, která do dvou týdnů odešla opravu. „Je to dobré znamení, že Google tyto chyby zabezpečení spravuje a považuje za problém se softwarem, “ řekl Rogers. „Mohou tiše vydávat aktualizace a opravit zranitelnosti dříve, než si budou uživatelé tento problém vědomi.“
V nové verzi softwaru Glass musíte před použitím kódu QR přejít na příslušnou nabídku nastavení. Chcete-li například použít QR kód pro připojení k síti Wi-Fi, musíte být nejprve v nabídce nastavení sítě. Glass bude nyní také informovat uživatele o tom, co QR kód dělá, a požádat o povolení před jeho provedením.
Tento nový systém předpokládá, že víte, co bude QR kód dělat před naskenováním, což zřejmě je to, co Google zamýšlel od začátku. Kromě společnosti Glass vytvořil Google doprovodnou aplikaci pro telefony Android, která vytváří QR kódy, takže uživatelé mohou rychle nakonfigurovat svá zařízení Glass. Google jednoduše nepředvídal QR kódy jako cestu k útoku.
V budoucnu
Když jsem mluvil s Rogersem, byl velmi optimistický ohledně budoucnosti skla a podobných produktů. Řekl, že rychlost reakce společnosti Google a snadnost, s jakou byla aktualizace zavedena, byla příkladná. Nemohu si pomoci, ale podívám se na zlomený ekosystém Android a obávám se, že budoucí zařízení a zranitelná místa nemusí být zvládnuta tak obratně.
Rogers porovnával problémy se sklem s těmi, které se vyskytovaly ve zdravotnických zařízeních, které byly objeveny před lety, ale dosud nebyly plně vyřešeny. "Nemůžeme spravovat jako statický hardware s firmwarem, který nikdy neaktualizujeme, " řekl. "Musíme být obratní."
Přes jeho optimismus měl Rogers několik slov opatrně. „Nové věci znamenají nové zranitelnosti, “ řekl. "Špatní chlapi se přizpůsobí a zkusí různé věci."
