Rumah Jam keamanan Jangan lihat sekarang! kaca google diisi oleh kode qr rendah

Jangan lihat sekarang! kaca google diisi oleh kode qr rendah

Video: Обзор Google Glass 3.0 (2 ГБ RAM) (Desember 2024)

Video: Обзор Google Glass 3.0 (2 ГБ RAM) (Desember 2024)
Anonim

Awal minggu ini, kami menulis tentang bagaimana beberapa fitur Google Glass dapat digunakan sebagai vektor serangan. Pembaca yang baik, sudah terjadi: Lookout telah mengumumkan bahwa mereka telah menemukan kerentanan kritis di Google Glass. Untungnya, Google telah memperbaiki masalah ini.

Analis keamanan utama Lookout, Marc Rogers, mengatakan kepada SecurityWatch yang menemukan kerentanan dalam bagaimana komputer yang dapat dipakai memproses kode QR. Karena antarmuka pengguna yang terbatas dari Glass, Google mengatur kamera perangkat untuk secara otomatis memproses kode QR apa pun dalam foto.

"Secara langsung, ini adalah perkembangan yang sangat menarik, " kata Rogers. "Tapi masalahnya adalah saat Glass melihat kode perintah yang dikenali, itu mengeksekusinya." Dengan pengetahuan ini, Lookout mampu menghasilkan kode QR berbahaya yang memaksa Glass melakukan tindakan tanpa sepengetahuan pengguna.

Gips dan Wi-Fi Berbahaya

Lookout kode QR berbahaya pertama yang dibuat akan memulai "pemain Kaca" tanpa sepengetahuan pengguna. Untuk yang belum tahu, Glass-casting membagikan apa pun yang muncul di layar Google Glass ke perangkat Bluetooth yang dipasangkan.

Rogers menunjukkan bahwa ini, sebenarnya, fitur yang kuat. "Jika Anda melihat kaca UI, itu hanya bisa dipakai oleh satu orang, " jelasnya. Dengan Glass-cast, pemakai dapat berbagi pandangan mereka dengan orang lain. Kode QR berbahaya Lookout, bagaimanapun, memicu pemain Kaca sepenuhnya tanpa sepengetahuan pengguna.

Sementara gagasan seseorang untuk dapat melihat layar yang diposisikan secara intim ke wajah Anda sangat membingungkan, serangan itu memiliki beberapa batasan yang jelas. Pertama dan terutama, penyerang harus cukup dekat untuk menerima transmisi melalui Bluetooth. Terlebih lagi, penyerang harus memasangkan perangkat Bluetooth mereka ke Google Glass Anda, yang akan membutuhkan akses fisik. Meskipun Rogers menunjukkan hal itu tidak akan sulit karena Glass, "tidak memiliki layar kunci dan Anda dapat mengonfirmasi hanya dengan mengetuknya."

Yang lebih meresahkan adalah diciptakannya kode QR berbahaya kedua, yang memaksa Glass untuk terhubung ke jaringan Wi-Fi yang ditentukan segera setelah dipindai. "Tanpa menyadarinya, Gelas Anda terhubung ke titik aksesnya dan dia dapat melihat lalu lintas Anda, " kata Rogers. Dia mengambil skenario satu langkah lebih jauh, mengatakan bahwa penyerang bisa, "merespons dengan kerentanan web, dan pada saat itu Glass diretas."

Ini hanya contoh, tetapi masalah mendasarnya adalah bahwa Google tidak pernah memperhitungkan skenario di mana pengguna tanpa sadar memotret kode QR. Seorang penyerang hanya bisa memposting kode QR berbahaya di tempat wisata populer, atau berpakaian kode QR sebagai godaan. Apa pun metode pengirimannya, hasilnya tidak akan terlihat oleh pengguna.

Google to the Rescue

Setelah Lookout menemukan kerentanannya, mereka melaporkannya ke Google yang mendorong perbaikan dalam waktu dua minggu. "Ini pertanda baik bahwa Google mengelola kerentanan ini dan memperlakukan mereka sebagai masalah perangkat lunak, " kata Rogers. "Mereka dapat mengeluarkan pembaruan secara diam-diam dan memperbaiki kerentanan sebelum pengguna bahkan menyadari masalahnya."

Dalam versi baru perangkat lunak Glass, Anda harus menavigasi ke menu pengaturan yang relevan sebelum kode QR dapat berlaku. Misalnya, untuk menggunakan kode QR untuk menghubungkan ke jaringan Wi-Fi, Anda harus terlebih dahulu berada di menu pengaturan jaringan. Glass juga akan memberi tahu pengguna tentang apa yang dilakukan kode QR, dan meminta izin sebelum menjalankannya.

Sistem baru ini mengandaikan bahwa Anda tahu apa yang akan dilakukan kode QR sebelum Anda memindai, yang tampaknya adalah apa yang Google maksudkan sejak awal. Selain Glass, Google membuat aplikasi pendamping untuk ponsel Android yang membuat kode QR sehingga pengguna dapat dengan cepat mengkonfigurasi perangkat Glass mereka. Google sama sekali tidak melihat kode QR sebagai jalan untuk menyerang.

Di masa depan

Ketika saya berbicara dengan Rogers, dia sangat optimis tentang masa depan Glass, dan produk seperti itu. Dia mengatakan bahwa kecepatan respons Google dan kemudahan pembaruan digunakan adalah contoh. Namun, saya tidak bisa tidak melihat ekosistem Android yang retak dan khawatir bahwa perangkat dan kerentanan di masa depan mungkin tidak ditangani dengan cekatan.

Rogers membandingkan masalah dengan Glass dengan yang ditemukan di peralatan medis, yang ditemukan bertahun-tahun yang lalu tetapi masih belum sepenuhnya diatasi. "Kami tidak dapat mengelola seperti perangkat keras statis dengan firmware yang tidak pernah kami perbarui, " katanya. "Kita harus gesit."

Terlepas dari optimismenya, Rogers memang memiliki beberapa kata peringatan. "Hal-hal baru berarti kerentanan baru, " katanya. "Orang jahat beradaptasi dan mencoba hal-hal yang berbeda."

Jangan lihat sekarang! kaca google diisi oleh kode qr rendah