Video: Apple Glass — умные очки от «яблока» и убийца Google Glass (Dezember 2024)
Anfang dieser Woche haben wir darüber geschrieben, wie einige Funktionen von Google Glass als Angriffsvektoren verwendet werden können. Nun, lieber Leser, es hat sich bereits bewährt: Lookout hat bekannt gegeben, dass es eine kritische Sicherheitslücke in Google Glass entdeckt hat. Zum Glück hat Google das Problem bereits behoben.
Marc Rogers, der wichtigste Sicherheitsanalyst von Lookout, erklärte gegenüber SecurityWatch, dass er eine Sicherheitslücke in der Verarbeitung von QR-Codes durch den tragbaren Computer entdeckt habe. Aufgrund der eingeschränkten Benutzeroberfläche von Glass hat Google die Kamera des Geräts so eingerichtet, dass jeder QR-Code in einem Foto automatisch verarbeitet wird.
"Auf den ersten Blick ist es eine wirklich aufregende Entwicklung", sagte Rogers. "Aber das Problem ist der Moment, in dem Glass einen Befehlscode erkennt und ausführt." Mit diesem Wissen war Lookout in der Lage, bösartige QR-Codes zu erstellen, die Glass dazu zwangen, Aktionen ohne Wissen des Benutzers durchzuführen.
Glasguss und bösartiges WLAN
Der erste bösartige QR-Code, den Lookout erstellt, würde ohne Wissen des Benutzers einen "Glass-Cast" auslösen. Für Uneingeweihte gibt Glass-Casting alles, was auf dem Google Glass-Bildschirm angezeigt wird, an ein gekoppeltes Bluetooth-Gerät weiter.
Rogers wies darauf hin, dass dies tatsächlich ein mächtiges Feature sei. "Wenn Sie sich die Benutzeroberfläche aus Glas ansehen, kann sie nur von einer einzelnen Person getragen werden", erklärte er. Mit Glass-cast kann der Träger seine Sicht mit anderen Menschen teilen. Der bösartige QR-Code von Lookout löste jedoch einen Glass-Cast aus, ohne dass der Benutzer etwas davon mitbekam.
Während die Vorstellung, dass jemand einen Bildschirm sehen kann, der so eng an Ihrem Gesicht positioniert ist, äußerst beunruhigend ist, weist der Angriff einige offensichtliche Einschränkungen auf. In erster Linie müsste ein Angreifer nah genug sein, um die Übertragung per Bluetooth zu empfangen. Darüber hinaus müsste ein Angreifer sein Bluetooth-Gerät mit Ihrem Google Glass koppeln, was physischen Zugriff erfordern würde. Obwohl Rogers darauf hinweist, dass dies nicht schwierig wäre, weil Glass "keinen Sperrbildschirm hat und Sie dies bestätigen können, indem Sie einfach darauf tippen".
Beunruhigender war ein zweiter bösartiger QR-Code Lookout, der Glass zwang, sich mit einem bestimmten WLAN-Netzwerk zu verbinden, sobald es gescannt wurde. "Ohne es zu bemerken, ist Ihr Glass mit seinem Zugangspunkt verbunden und er kann Ihren Datenverkehr sehen", sagte Rogers. Er ging noch einen Schritt weiter und sagte, der Angreifer könne "mit einer Web-Sicherheitslücke reagieren und zu diesem Zeitpunkt wird Glass gehackt".
Dies sind nur Beispiele, aber das zugrunde liegende Problem ist, dass Google niemals Szenarien berücksichtigt hat, in denen Nutzer einen QR-Code unabsichtlich fotografieren würden. Ein Angreifer könnte einfach einen bösartigen QR-Code an einem beliebten Touristenort posten oder den QR-Code als verlockend verkleiden. Unabhängig von der Art der Zustellung ist das Ergebnis für den Benutzer nicht sichtbar.
Google zur Rettung
Nachdem Lookout die Sicherheitsanfälligkeit gefunden hatte, wurde sie Google gemeldet, das innerhalb von zwei Wochen einen Fix herausbrachte. "Es ist ein gutes Zeichen, dass Google diese Sicherheitsanfälligkeiten verwaltet und als Softwareproblem behandelt", sagte Rogers. "Sie können die Updates unbeaufsichtigt veröffentlichen und Sicherheitslücken schließen, bevor die Benutzer überhaupt von dem Problem erfahren."
In der neuen Version der Glass-Software müssen Sie zu einem relevanten Einstellungsmenü navigieren, bevor ein QR-Code wirksam wird. Um beispielsweise über einen QR-Code eine Verbindung zu einem Wi-Fi-Netzwerk herzustellen, müssen Sie sich zunächst im Menü Netzwerkeinstellungen befinden. Glass informiert den Benutzer jetzt auch darüber, was der QR-Code tut, und bittet um Erlaubnis, bevor er ausgeführt wird.
Dieses neue System setzt voraus, dass Sie wissen, was der QR-Code tun wird, bevor Sie ihn scannen, was Google anscheinend von Anfang an beabsichtigt hat. Zusätzlich zu Glass hat Google eine Begleit-App für Android-Telefone erstellt, die QR-Codes erstellt, damit Benutzer ihre Glass-Geräte schnell konfigurieren können. Google sah QR-Codes einfach nicht als Angriffsmöglichkeit vor.
In der Zukunft
Als ich mit Rogers sprach, war er sehr optimistisch in Bezug auf die Zukunft von Glass und ähnliche Produkte. Die Reaktionsgeschwindigkeit von Google und die einfache Bereitstellung des Updates seien beispielhaft. Ich kann jedoch nicht anders, als mir das zerbrochene Android-Ökosystem anzusehen und mir Sorgen zu machen, dass zukünftige Geräte und Schwachstellen möglicherweise nicht so geschickt gehandhabt werden.
Rogers verglich die Probleme mit Glas mit denen in medizinischen Geräten, die vor Jahren entdeckt wurden, aber noch nicht vollständig behoben wurden. "Wir können nicht wie statische Hardware mit Firmware umgehen, die wir nie aktualisieren", sagte er. "Wir müssen agil sein."
Trotz seines Optimismus hatte Rogers einige vorsichtige Worte. "Neue Dinge bedeuten neue Schwachstellen", sagte er. "Die Bösen passen sich an und probieren verschiedene Dinge aus."
