Video: My Custom Google Glass - 1000-ish Subscriber Special! (Lokakuu 2024)
Aiemmin tällä viikolla kirjoitimme siitä, kuinka joitain Google Glassin ominaisuuksia voitaisiin käyttää hyökkäysvektoreina. Hyvin lempeä lukija, se on jo tapahtunut: Lookout on ilmoittanut löytäneensä kriittisen haavoittuvuuden Google Glassissa. Onneksi Google on jo korjannut asian.
Näköalapaikan pääturvallisuusanalyytikko Marc Rogers kertoi SecurityWatchille, joka löysi haavoittuvuuden siinä, kuinka puettava tietokone käsitteli QR-koodeja. Glassin rajoitetun käyttöliittymän vuoksi Google asetti laitteen kameran käsittelemään valokuvan kaikki QR-koodit automaattisesti.
"Se on todella jännittävä kehitys", sanoi Rogers. "Mutta ongelma on se hetki, jolloin Glass näkee komentokoodin, jonka se tunnistaa, se suorittaa sen." Tämän tiedon avulla Lookout pystyi tuottamaan haitallisia QR-koodeja, jotka pakottivat Glassia tekemään toimintoja käyttäjän tietämättä.
Lasivalu ja haitallinen Wi-Fi
Ensimmäinen luotu vahingollinen QR-koodinäkymä käynnistää "lasivalun" ilman käyttäjän tietämystä. Aloittamattomasti Lasi-valu jakaa kaiken, mitä Google Glass -näytössä näkyy pariksi muodostetulle Bluetooth-laitteelle.
Rogers huomautti, että tämä oli itse asiassa tehokas ominaisuus. "Jos tarkastellaan lasin käyttöliittymää, sitä voi käyttää vain yksi henkilö", hän selitti. Lasivalun avulla käyttäjä voi jakaa näkemyksensä muiden ihmisten kanssa. Lookoutin vahingollinen QR-koodi kuitenkin laukaisi lasivalun kokonaan ilman käyttäjän tietämystä.
Vaikka ajatus siitä, että joku pystyy näyttämään näytön niin läheisesti kasvoihin, on erittäin hämmentävää, hyökkäyksellä on joitain ilmeisiä rajoituksia. Ensinnäkin hyökkääjän on oltava riittävän lähellä vastaanottaakseen tiedonsiirron Bluetoothin kautta. Lisäksi hyökkääjän on muodostettava pariliitos Bluetooth-laitteestaan Google Glassiin, mikä vaatii fyysisen pääsyn. Vaikka Rogers huomauttaa, että sen tekeminen ei olisi vaikeaa, koska Glassilla "ei ole lukitusnäyttöä ja voit vahvistaa vain napauttamalla sitä."
Lisää huolestuttavuutta aiheutti toinen luotu vahingollinen QR-koodinäkymä, joka pakotti Glassin muodostamaan yhteyden nimettyyn Wi-Fi-verkkoon heti, kun se oli skannattu. "Totta edes ymmärtämättä sitä, lasisi on kytketty tukiasemaansa ja hän näkee liikenteesi", sanoi Rogers. Hän otti skenaarion askeleen pidemmälle sanomalla, että hyökkääjä voi "vastata verkkoon liittyvällä haavoittuvuudella, ja silloin Glass menee hakkerointiin".
Nämä ovat vain esimerkkejä, mutta taustalla oleva ongelma on, että Google ei ole koskaan ottanut huomioon tilanteita, joissa käyttäjät valokuvaisivat tahattomasti QR-koodia. Hyökkääjä voi yksinkertaisesti lähettää haitallisen QR-koodin suosittuun turistikohteeseen tai pukeutua QR-koodin houkuttelevaksi. Toimitustavasta riippumatta tulos olisi käyttäjän näkymätön.
Google pelastajille
Heti kun Lookout löysi haavoittuvuuden, he ilmoittivat siitä Googlelle, joka purkasi korjauksen kahden viikon kuluessa. "Se on hyvä merkki siitä, että Google hallitsee näitä haavoittuvuuksia ja käsittelee niitä ohjelmisto-ongelmana", Rogers sanoi. "He voivat julkaista päivitykset äänettömästi ja korjata haavoittuvuudet, ennen kuin käyttäjät ovat edes tietoisia ongelmasta."
Glass-ohjelmiston uudessa versiossa sinun on siirryttävä asianmukaiseen asetusvalikkoon, ennen kuin QR-koodi voi tulla voimaan. Esimerkiksi, jos haluat käyttää QR-koodia yhteyden muodostamiseen Wi-Fi-verkkoon, sinun on ensin oltava verkon asetusvalikossa. Glass ilmoittaa nyt myös käyttäjälle, mitä QR-koodi tekee, ja pyytää lupaa ennen sen suorittamista.
Tämä uusi järjestelmä edellyttää, että tiedät mitä QR-koodi tekee ennen skannausta, mikä on ilmeisesti sitä, mitä Google aikoi alusta alkaen. Glassin lisäksi Google loi Android-puhelimille kumppanisovelluksen, joka luo QR-koodeja, jotta käyttäjät voivat nopeasti määrittää Glass-laitteet. Google ei yksinkertaisesti ennakoinut QR-koodeja hyökkäyskeinona.
Tulevaisuudessa
Kun puhuin Rogersin kanssa, hän suhtautui hyvin optimistisesti Glassin tulevaisuuteen ja tuotteisiin. Hän sanoi, että Googlen vastausnopeus ja päivityksen helppous olivat esimerkillisiä. En voi kuitenkaan katsoa murtuneeseen Android-ekosysteemiin ja olla huolissani siitä, että tulevia laitteita ja haavoittuvuuksia ei ehkä käsitellä niin taitavasti.
Rogers vertasi lasin kanssa aiheita lääketieteellisistä laitteista, jotka löydettiin vuosia sitten, mutta joita ei vieläkään ole käsitelty täysin. "Emme voi hallita staattista laitteistoa sellaisilla laiteohjelmistoilla, joita emme koskaan päivitä", hän sanoi. "Meidän on oltava ketteriä."
Optimismistaan huolimatta Rogersillä oli joitain varovaisuuden sanoja. "Uudet asiat tarkoittavat uusia haavoittuvuuksia", hän sanoi. "Pahat pojat mukautuvat ja kokeilevat erilaisia asioita."
