Будинки Securitywatch Не дивись зараз! Google скляний pwned низько qr код

Не дивись зараз! Google скляний pwned низько qr код

Відео: Время и Стекло Так выпала Карта HD VKlipe Net (Листопад 2024)

Відео: Время и Стекло Так выпала Карта HD VKlipe Net (Листопад 2024)
Anonim

На початку цього тижня ми писали про те, як деякі функції Google Glass можуть використовуватися як вектори атак. Добре читаючий читач, це вже сталося: Lookout оголосив, що виявив критичну вразливість у Google Glass. На щастя, Google вже виправив цю проблему.

Основний аналітик служби безпеки Марк Роджерс розповів SecurityWatch, що виявив вразливість у тому, як носячий комп'ютер обробляв QR-коди. Через обмежений інтерфейс користувача Glass, Google налаштував камеру пристрою для автоматичної обробки будь-якого QR-коду на фотографії.

"Зважаючи на це, це дійсно хвилююча подія", - сказав Роджерс. "Але проблема полягає в тому, як Glass бачить код команди, який він розпізнає, і виконує його." За допомогою цих знань Lookout зумів створити шкідливі QR-коди, які змусили Glass виконувати дії без відома користувача.

Скляна литва та шкідливий Wi-Fi

Перший шкідливий QR-код Lookout, створений, може ініціювати створення «Склянки» без відома користувача. Для непоінформованих Glass-лиття ділиться всім, що з’являється на екрані Google Glass, на парному пристрої Bluetooth.

Роджерс зазначив, що це, власне, потужна особливість. "Якщо ви подивитеся на скляний інтерфейс, його може носити лише одна людина", - пояснив він. За допомогою «Скло-лиття» власник може поділитися своїм поглядом з іншими людьми. Зловмисний QR-код Lookout, однак, викликав скло в складі повністю без відома користувача.

Хоча думка про те, що хтось може переглядати екран, настільки інтимно розміщений на вашому обличчі, вкрай викликає занепокоєння, напад має деякі очевидні обмеження. Перш за все, зловмиснику потрібно було б бути близько, щоб отримати передачу по Bluetooth. Більше того, зловмиснику доведеться з'єднати свій пристрій Bluetooth з вашим Google Glass, що вимагатиме фізичного доступу. Хоча Роджерс зазначає, що зробити це не буде складно, тому що Glass "не має блокувального екрану, і ви можете це підтвердити, просто натиснувши його".

Більш занепокоєнням був другий зловмисний QR-код Lookout, який змусив Glass підключитися до визначеної Wi-Fi мережі, як тільки він був сканований. "Навіть не усвідомлюючи цього, ваш Glass підключений до його точки доступу, і він може побачити ваш трафік", - сказав Роджерс. Він зробив сценарій на крок далі, сказавши, що зловмисник може "відповісти вразливістю в Інтернеті, і в цей момент Glass зазнає зламу".

Це лише приклади, але основна проблема полягає в тому, що Google ніколи не враховував сценарії, де користувачі мимоволі фотографували QR-код. Зловмисник може просто розмістити зловмисний QR-код у популярній туристичній точці або одягнути QR-код як спокусливий. Яким би не був спосіб доставки, результат був би невидимим для користувача.

Google до порятунку

Як тільки Lookout виявив вразливість, вони повідомили про це в Google, який випустив виправлення протягом двох тижнів. "Це хороший знак, що Google впорядковує ці вразливості та розглядає їх як проблему програмного забезпечення", - сказав Роджерс. "Вони можуть вимкнути оновлення беззвучно і виправити вразливості, перш ніж користувачі навіть усвідомлюють проблему."

У новій версії програмного забезпечення Glass вам потрібно перейти до відповідного меню налаштувань, перш ніж набуде чинності QR-код. Наприклад, щоб використовувати QR-код для підключення до мережі Wi-Fi, спочатку ви повинні бути в меню налаштувань мережі. Тепер Glass також інформує користувача про те, що робить QR-код, і запитає дозволу перед його виконанням.

Ця нова система передбачає, що ви знаєте, що зробить QR-код, перш ніж його сканувати, що, очевидно, те, що Google задумав з самого початку. Окрім Glass, Google створив додаток-супутник для телефонів Android, який створює QR-коди, щоб користувачі могли швидко налаштувати свої пристрої Glass. Google просто не передбачив QR-коди як проспект для нападу.

В майбутньому

Коли я розмовляв з Роджерсом, він дуже оптимістично ставився до майбутнього Glass, а також до таких продуктів. Він сказав, що швидкість реакції Google та легкість, з якою було розгорнуто оновлення, є зразковими. Однак я не можу не переглядати розбиту екосистему Android і хвилюватися, що майбутні пристрої та вразливі місця можуть не оброблятися так спритно.

Роджерс порівнював проблеми зі склом із проблемами, знайденими в медичному обладнанні, які були виявлені роками тому, але досі не розглядаються повністю. "Ми не можемо керувати статичним обладнанням з прошивкою, яку ми ніколи не оновлюємо", - сказав він. "Нам потрібно бути спритними".

Незважаючи на свій оптимізм, у Роджерса були слова обережності. "Нові речі означають нові вразливості", - сказав він. "Погані хлопці пристосовуються і пробують різні речі".

Не дивись зараз! Google скляний pwned низько qr код