Video: Обзор Google Glass 2 — новая версия (Oktober 2024)
V začetku tega tedna smo pisali o tem, kako bi lahko nekatere funkcije Google Glass uporabili kot vektorje napadov. No nežen bralec, to se je že zgodilo: Lookout je sporočil, da so v Google Glassu odkrili kritično ranljivost. K sreči je Google že popravil težavo.
Glavni varnostni analitik Lookout-a Marc Rogers je za SecurityWatch povedal, da je odkril ranljivost, kako je nosljivi računalnik obdeloval QR kode. Google je zaradi omejenega uporabniškega vmesnika Glass nastavil kamero naprave za samodejno obdelavo katere koli QR kode na fotografiji.
"Kljub temu je resnično razburljiv razvoj, " je dejal Rogers. "Toda težava je v trenutku, ko Glass zagleda ukazno kodo, ki jo prepozna, jo izvrši." S tem znanjem je Lookout uspel izdelati zlonamerne QR kode, ki so prisilili Glassa k dejanjem brez vednosti uporabnika.
Stekleno lito in zlonamerni Wi-Fi
Prva zlonamerna QR koda Lookout, ustvarjena, bi sprožila "Stekleno litino" brez uporabnikove vednosti. Za neuveščene storitve Glass-litje delijo vse, kar se prikaže na zaslonu Google Glass, s seznanjeno napravo Bluetooth.
Rogers je poudaril, da je to pravzaprav močna lastnost. "Če pogledate steklen uporabniški vmesnik, ga lahko nosi samo ena oseba, " je pojasnil. S stekleno zasedbo lahko uporabnik svoje mnenje deli z drugimi. Vendar je zlonamerna QR koda Lookout sprožila steklo v celoti brez uporabnikove vednosti.
Medtem ko je ideja, da bi si nekdo lahko ogledal zaslon, tako intimno nameščen na vaš obraz, zelo vznemirjajoča, ima napad nekaj očitnih omejitev. Najprej in najpomembnejše, da bi moral biti napadalec dovolj blizu, da bi lahko prenašal prek Bluetooth. Še več, napadalec bi moral svojo napravo Bluetooth seznaniti z vašim Google Glassom, kar bi zahtevalo fizični dostop. Čeprav Rogers poudarja, da to ne bi bilo težko, ker Glass "nima ključavnice in to lahko potrdite samo z dotikom."
Bolj moteče je bilo ustvarjeno drugo zlonamerno QR kodo Lookout, ki je prisilila Glass, da se takoj po skeniranju poveže z določenim omrežjem Wi-Fi. "Ne da bi se tega sploh zavedal, je vaš Glass povezan z njegovo dostopno točko in lahko vidi vaš promet, " je dejal Rogers. Ta korak je izkoristil za korak naprej, rekoč, da se lahko napadalec "odzove z ranljivostjo v spletu in v tem trenutku se Glass zlomi".
To so le primeri, toda osnovna težava je, da Google nikoli ni upošteval scenarijev, kjer bi uporabniki nenamerno fotografirali QR kodo. Napadalec bi lahko preprosto objavil zlonamerno QR kodo na priljubljenem turističnem mestu ali oblekel QR kodo kot mamljivo. Ne glede na način dostave, bi bil rezultat za uporabnika neviden.
Google za reševanje
Ko je Lookout ugotovil ranljivost, so jo prijavili Googlu, ki je v dveh tednih odpravil popravek. "To je dober znak, da Google te ranljivosti obvladuje in jih obravnava kot programsko težavo, " je dejal Rogers. "Tiho lahko pospravijo posodobitve in odpravijo ranljivosti, preden se uporabniki sploh zavedajo težave."
V novi različici programske opreme Glass morate pred začetkom veljavnosti QR kode odpreti ustrezen meni nastavitev. Če želite na primer uporabiti QR kodo za povezavo z omrežjem Wi-Fi, morate najprej v meniju omrežnih nastavitev. Glass bo zdaj uporabnika obvestil tudi o tem, kaj počne QR koda, in pred izvedbo prosil za dovoljenje.
Ta novi sistem predvideva, da veste, kaj bo QR koda naredila, preden jo skenirate, kar je očitno to, kar je Google nameraval že od samega začetka. Poleg Glassa je Google ustvaril spremljevalno aplikacijo za telefone Android, ki ustvarja QR kode, tako da lahko uporabniki hitro konfigurirajo svoje naprave Glass. Google preprosto ni predvidel QR kod kot možnosti za napad.
V prihodnosti
Ko sem govoril z Rogersom, je bil zelo optimističen glede prihodnosti Stekla in izdelkov, ki so mu všeč. Povedal je, da sta hitrost Googlovega odziva in enostavnost, s katero je bila posodobitev nameščena, zgledna. Vendar si ne morem pomagati, da pogledam na zlomljen ekosistem Android in skrbi, da se bodoče naprave in ranljivosti morda ne bodo ravnale tako spretno.
Rogers je primerjal težave s Glassom s tistimi, ki so jih našli v medicinski opremi, ki so jih odkrili pred leti, vendar še vedno niso bili popolnoma obravnavani. "Ne moremo upravljati statične strojne opreme s strojno programsko opremo, ki je nikoli ne posodobimo, " je dejal. "Moramo biti gibčni."
Kljub svojemu optimizmu je imel Rogers nekaj previdnih besed. "Nove stvari pomenijo nove ranljivosti, " je dejal. "Slabi fantje se prilagajajo in preizkušajo različne stvari."
