Дом Securitywatch Не смотри сейчас! гугл стакан, набитый непритязательным qr кодом

Не смотри сейчас! гугл стакан, набитый непритязательным qr кодом

Видео: whatsaper ru Недетские анекдоты про Вовочку (Ноябрь 2024)

Видео: whatsaper ru Недетские анекдоты про Вовочку (Ноябрь 2024)
Anonim

Ранее на этой неделе мы писали о том, как некоторые функции Google Glass можно использовать в качестве векторов атак. Хорошо, добрый читатель, это уже сбылось: Lookout объявила, что обнаружила критическую уязвимость в Google Glass. К счастью, Google уже исправил проблему.

Главный аналитик безопасности Lookout Марк Роджерс рассказал SecurityWatch, что обнаружил уязвимость в том, как носимый компьютер обрабатывает QR-коды. Из-за ограниченного пользовательского интерфейса Glass Google настроил камеру устройства для автоматической обработки любого QR-кода на фотографии.

«На первый взгляд, это действительно захватывающее событие», - сказал Роджерс. «Но проблема в том, как Гласс видит код команды, который он распознает, и выполняет его». Обладая этими знаниями, Lookout смог создать вредоносные QR-коды, которые заставляли Glass выполнять действия без ведома пользователя.

Стеклянный и вредоносный Wi-Fi

Первый вредоносный QR-код, созданный Lookout, инициирует «литье стекла» без ведома пользователя. Для непосвященных, Glass-casting передает то, что появляется на экране Google Glass, на сопряженное устройство Bluetooth.

Роджерс отметил, что это действительно мощная функция. «Если вы посмотрите на стеклянный интерфейс, его может носить только один человек», - пояснил он. С Glass-cast владелец может поделиться своим взглядом с другими людьми. Вредоносный QR-код Lookout, однако, вызвал бросок Glass без ведома пользователя.

В то время как идея о том, что кто-то может видеть экран так близко к лицу, крайне смущает, атака имеет некоторые очевидные ограничения. Прежде всего, злоумышленник должен быть достаточно близко, чтобы принять передачу по Bluetooth. Более того, злоумышленник должен будет подключить свое устройство Bluetooth к вашему Google Glass, что потребует физического доступа. Хотя Роджерс отмечает, что сделать это не составит труда, поскольку у Glass «нет экрана блокировки, и вы можете подтвердить это, просто нажав на него».

Больше беспокойства вызвал второй вредоносный QR-код, созданный Lookout, который заставил Glass подключиться к назначенной сети Wi-Fi, как только он был отсканирован. «Даже не подозревая об этом, ваш стакан подключен к его точке доступа, и он может видеть ваш трафик», сказал Роджерс. Он пошел дальше по сценарию, заявив, что злоумышленник может «ответить уязвимостью в сети, и в этот момент Glass будет взломан».

Это всего лишь примеры, но основная проблема заключается в том, что Google никогда не учитывал сценарии, когда пользователи невольно фотографировали QR-код. Злоумышленник может просто опубликовать вредоносный QR-код в популярном туристическом месте или одеть его как заманчивое. Каким бы ни был способ доставки, результат будет незаметен для пользователя.

Гугл в помощь

После того, как Lookout обнаружил уязвимость, они сообщили об этом в Google, который выпустил исправление в течение двух недель. «Это хороший признак того, что Google управляет этими уязвимостями и рассматривает их как проблему программного обеспечения», - сказал Роджерс. «Они могут молча выпускать обновления и исправлять уязвимости еще до того, как пользователи узнают о проблеме».

В новой версии программного обеспечения Glass вам нужно перейти в соответствующее меню настроек, прежде чем QR-код вступит в силу. Например, чтобы использовать QR-код для подключения к сети Wi-Fi, сначала необходимо войти в меню настроек сети. Glass также теперь проинформирует пользователя о том, что делает QR-код, и спросит разрешения перед его выполнением.

Эта новая система предполагает, что вы знаете, что будет делать QR-код, прежде чем сканировать его, что, по-видимому, и было задумано Google с самого начала. В дополнение к Glass, Google создал приложение для телефонов Android, которое создает QR-коды, чтобы пользователи могли быстро настроить свои устройства Glass. Google просто не рассматривал QR-коды как путь для атаки.

В будущем

Когда я говорил с Роджерсом, он был очень оптимистичен в отношении будущего стекла и подобных ему продуктов. Он сказал, что скорость ответа Google и простота развертывания обновления являются образцовыми. Тем не менее, я не могу не смотреть на разрушенную экосистему Android и беспокоиться о том, что будущие устройства и уязвимости могут быть обработаны не так ловко.

Роджерс сравнил проблемы со стеклом с проблемами, обнаруженными в медицинском оборудовании, которые были обнаружены много лет назад, но до сих пор не решены полностью. «Мы не можем управлять как статическое оборудование с помощью встроенного программного обеспечения, которое мы никогда не обновляем», - сказал он. «Мы должны быть проворными».

Несмотря на его оптимизм, у Роджерса были некоторые слова предостережения. «Новые вещи означают новые уязвимости», - сказал он. «Плохие парни приспосабливаются и пробуют разные вещи».

Не смотри сейчас! гугл стакан, набитый непритязательным qr кодом