Video: Обзор Google Glass 2 — новая версия (November 2024)
Eerder deze week schreven we over hoe sommige functies van Google Glass kunnen worden gebruikt als aanvalsvectoren. Wel zachtaardig lezer, het is al gebeurd: Lookout heeft aangekondigd dat ze een kritieke kwetsbaarheid in Google Glass hebben ontdekt. Gelukkig heeft Google het probleem al opgelost.
De belangrijkste beveiligingsanalist van Lookout, Marc Rogers, vertelde SecurityWatch dat een kwetsbaarheid ontdekte in hoe de draagbare computer QR-codes verwerkte. Vanwege de beperkte gebruikersinterface van Glass heeft Google de camera van het apparaat zo ingesteld dat elke QR-code in een foto automatisch wordt verwerkt.
"Op het eerste gezicht is het echt een opwindende ontwikkeling", zegt Rogers. "Maar het probleem is dat Glass een opdrachtcode ziet die het herkent en deze uitvoert." Met deze kennis was Lookout in staat kwaadaardige QR-codes te produceren die Glass dwongen om acties uit te voeren zonder medeweten van de gebruiker.
Glass-cast en kwaadaardige wifi
De eerste kwaadaardige QR-code die Lookout maakte, zou een "Glass-cast" initiëren zonder medeweten van de gebruiker. Voor niet-ingewijden deelt Glass-casting alles wat op het Google Glass-scherm verschijnt met een gekoppeld Bluetooth-apparaat.
Rogers wees erop dat dit eigenlijk een krachtige functie was. "Als je naar de glazen gebruikersinterface kijkt, kan deze alleen door één persoon worden gedragen, " legde hij uit. Met Glass-cast kan de drager zijn mening delen met andere mensen. Lookout's kwaadaardige QR-code veroorzaakte echter een Glass-cast geheel zonder medeweten van de gebruiker.
Hoewel het idee dat iemand een scherm kan bekijken dat zo intiem op je gezicht is gepositioneerd buitengewoon verontrustend is, heeft de aanval een aantal duidelijke beperkingen. Eerst en vooral moet een aanvaller dichtbij genoeg zijn om de transmissie via Bluetooth te ontvangen. Bovendien moet een aanvaller zijn Bluetooth-apparaat koppelen aan uw Google Glass, waarvoor fysieke toegang vereist is. Hoewel Rogers erop wijst dat dit niet moeilijk zou zijn omdat Glass "geen vergrendelscherm heeft en je kunt bevestigen door erop te tikken."
Meer verontrustend was een tweede kwaadaardige QR-code die Lookout maakte, waardoor Glass gedwongen werd om verbinding te maken met een aangewezen Wi-Fi-netwerk zodra het werd gescand. "Zonder het te beseffen, is uw Glass verbonden met zijn toegangspunt en kan hij uw verkeer zien, " zei Rogers. Hij ging nog een stap verder en zei dat de aanvaller kon "reageren met een webkwetsbaarheid en op dat moment wordt Glass gehackt."
Dit zijn slechts voorbeelden, maar het onderliggende probleem is dat Google nooit rekening heeft gehouden met scenario's waarin gebruikers onbewust een QR-code zouden fotograferen. Een aanvaller kan eenvoudig een kwaadaardige QR-code op een populaire toeristische plek plaatsen of de QR-code als verleidelijk aankleden. Wat de manier van levering ook is, het resultaat is onzichtbaar voor de gebruiker.
Google to the Rescue
Nadat Lookout het beveiligingslek had ontdekt, meldden ze dit aan Google, die binnen twee weken een oplossing uitbracht. "Het is een goed teken dat Google deze kwetsbaarheden beheert en behandelt als een softwareprobleem", aldus Rogers. "Ze kunnen de updates stilzwijgen en kwetsbaarheden oplossen voordat gebruikers zich zelfs bewust zijn van het probleem."
In de nieuwe versie van de Glass-software moet u naar een relevant instellingenmenu navigeren voordat een QR-code van kracht kan worden. Als u bijvoorbeeld een QR-code wilt gebruiken om verbinding te maken met een Wi-Fi-netwerk, moet u zich eerst in het menu met netwerkinstellingen bevinden. Glass informeert de gebruiker nu ook over wat QR-code doet en vraagt toestemming voordat deze wordt uitgevoerd.
Dit nieuwe systeem gaat ervan uit dat u weet wat de QR-code zal doen voordat u deze scant, wat blijkbaar vanaf het begin de bedoeling was van Google. Naast Glass heeft Google een bijbehorende app voor Android-telefoons gemaakt die QR-codes maakt, zodat gebruikers hun Glass-apparaten snel kunnen configureren. Google voorzag eenvoudig geen QR-codes als een manier om aan te vallen.
In de toekomst
Toen ik met Rogers sprak, was hij erg optimistisch over de toekomst van Glass, en dergelijke producten. Hij zei dat de snelheid van de reactie van Google en het gemak waarmee de update werd geïmplementeerd, voorbeeldig waren. Ik kan het echter niet helpen om naar het gebroken Android-ecosysteem te kijken en me zorgen te maken dat toekomstige apparaten en kwetsbaarheden mogelijk niet zo behendig worden behandeld.
Rogers vergeleek de problemen met Glass met die in medische apparatuur, die jaren geleden werden ontdekt maar nog steeds niet volledig zijn aangepakt. "We kunnen niet zoals statische hardware beheren met firmware die we nooit bijwerken", zei hij. "We moeten behendig zijn."
Ondanks zijn optimisme had Rogers een aantal waarschuwende woorden. "Nieuwe dingen betekenen nieuwe kwetsbaarheden, " zei hij. "De slechteriken passen zich aan en proberen verschillende dingen."
