Vídeo: Обзор Google Glass 2 — новая версия (Setembre 2024)
A principis d’aquesta setmana, vam escriure sobre com algunes funcions de Google Glass es podrien utilitzar com a vectors d’atac. Ben amable lector, ja ha passat: Lookout ha anunciat que han descobert una vulnerabilitat crítica a Google Glass. Per sort, Google ja ha solucionat el problema.
L’analista de seguretat principal de Lookout, Marc Rogers, va dir a SecurityWatch que va descobrir una vulnerabilitat en la manera en què l’ordinador processable processava codis QR. A causa de la seva interfície d'usuari limitada, Google va configurar la càmera del dispositiu per processar automàticament qualsevol codi QR en una fotografia.
"Davant d'això, és un desenvolupament realment emocionant", va dir Rogers. "Però el problema és que Glass veu un codi de comanda que reconeix i l'executa." Amb aquest coneixement, Lookout va ser capaç de produir codis QR maliciosos que van obligar Glass a realitzar accions sense el coneixement de l’usuari.
Col·locació de vidre i Wi-Fi maliciós
El primer codi QR maliciós Lookout creat va iniciar un "repartiment de vidre" sense el coneixement de l'usuari. Per als no iniciats, el repartiment de vidre comparteix qualsevol cosa que aparegui a la pantalla de Google Glass amb un dispositiu Bluetooth vinculat.
Rogers va assenyalar que aquesta era, en realitat, una característica potent. "Si us fixeu en la interfície d'interès de vidre, només la pot portar una sola persona", va explicar. Amb el repartiment de vidre, qui porta el seu parer amb altres persones. Tanmateix, el maliciós codi QR de Lookout va desencadenar un repartiment de vidre completament sense el coneixement de l'usuari.
Tot i que la idea que algú pugui veure una pantalla tan col·locada a la cara és extremadament desconcertant, l’atac té algunes limitacions evidents. En primer lloc, un atacant hauria d'estar prou a prop per rebre la transmissió via Bluetooth. És més, un atacant hauria de combinar el seu dispositiu Bluetooth al Google Glass, cosa que requeriria accés físic. Tot i que Rogers assenyala que no ho seria perquè Glass, "no té pantalla de bloqueig i ho podeu confirmar només tocant-lo".
Més inquietant va ser el fet de crear un segon codi QR maliciós que va obligar Glass a connectar-se a una xarxa Wi-Fi designada tan aviat com es va escanejar. "Sense ni tan sols adonar-se'n, el seu Vidre està connectat al seu punt d'accés i podrà veure el teu trànsit", va dir Rogers. Va donar l'escenari un pas més, dient que l'atacant podia "respondre amb una vulnerabilitat de la web i, en aquell moment, Glass es pirata".
Aquests són només exemples, però el problema subjacent és que Google mai va comptar amb escenaris en què els usuaris no fotessin un codi QR sense voler. Un atacant podria simplement publicar un codi QR malintencionat en un lloc turístic popular, o vestir el codi QR com a temptador. Sigui quin sigui el mètode d’entrega, el resultat seria invisible per a l’usuari.
Google al rescat
Un cop que Lookout va detectar la vulnerabilitat, la van informar a Google que va enviar una correcció en dues setmanes. "És un bon senyal que Google gestiona aquestes vulnerabilitats i les tracta com un problema de programari", va dir Rogers. "Poden esbrinar les actualitzacions en silenci i solucionar les vulnerabilitats abans que els usuaris siguin conscients del problema."
A la nova versió del programari Glass, heu d’anar a un menú de configuració rellevant abans que tingui efecte un codi QR. Per exemple, per utilitzar un codi QR per connectar-se a una xarxa Wi-Fi, primer heu d’estar al menú de configuració de la xarxa. Glass també informarà a l'usuari sobre el que fa el codi QR i demanarà permís abans d'executar-lo.
Aquest nou sistema presumeix que saps què farà el codi QR abans d’escanejar-lo, que aparentment és el que Google va pretendre des del primer moment. A més de Glass, Google va crear una aplicació complementària per a telèfons Android que crea codis QR perquè els usuaris puguin configurar els seus dispositius de vidre ràpidament. Google simplement no preveia els codis QR com a via d’atac.
En el futur
Quan vaig parlar amb Rogers era molt optimista sobre el futur de Glass i productes com aquest. Va dir que la rapidesa de la resposta de Google i la facilitat amb la qual es va desplegar l'actualització van ser exemplars. Tot i això, no puc evitar mirar l’ecosistema Android fracturat i preocupar-me que els futurs dispositius i les vulnerabilitats no es podran gestionar amb tanta abilitat.
Rogers va comparar els problemes amb Glass amb els que es trobaven en equipament mèdic, descoberts fa anys però encara no han estat abordats del tot. "No podem gestionar com el maquinari estàtic amb el firmware que no actualitzem mai", va dir. "Hem de ser àgils".
Malgrat el seu optimisme, Rogers va tenir algunes paraules de precaució. "Les coses noves signifiquen noves vulnerabilitats", va dir. "Els dolents s'adapten i proven diferents coses".
