บ้าน Securitywatch อย่ามองตอนนี้! google แก้ว pwned โดยรหัส QR ต่ำต้อย

อย่ามองตอนนี้! google แก้ว pwned โดยรหัส QR ต่ำต้อย

วีดีโอ: Обзор Google Glass 2 — новая версия (ธันวาคม 2024)

วีดีโอ: Обзор Google Glass 2 — новая версия (ธันวาคม 2024)
Anonim

สัปดาห์ก่อนหน้านี้เราได้เขียนเกี่ยวกับคุณลักษณะบางอย่างของ Google Glass ที่สามารถใช้เป็นเวกเตอร์สำหรับโจมตีได้ ผู้อ่านที่อ่อนโยนก็ผ่านมาแล้ว: Lookout ได้ประกาศว่าพวกเขาค้นพบช่องโหว่ที่สำคัญใน Google Glass โชคดีที่ Google ได้แก้ไขปัญหาแล้ว

Marc Rogers นักวิเคราะห์ด้านความปลอดภัยหลักของ Lookout บอก SecurityWatch ว่าค้นพบช่องโหว่ในวิธีที่คอมพิวเตอร์สวมใส่ประมวลผลรหัส QR เนื่องจากส่วนติดต่อผู้ใช้ที่ จำกัด ของ Glass Google จึงตั้งค่ากล้องของอุปกรณ์ให้ประมวลผลรหัส QR ใด ๆ ในรูปถ่ายโดยอัตโนมัติ

“ บนหน้าของมันมันเป็นการพัฒนาที่น่าตื่นเต้นจริงๆ” โรเจอร์สกล่าว "แต่ปัญหาคือช่วงเวลาที่ Glass เห็นรหัสคำสั่งที่รับรู้มันประมวลผลได้" ด้วยความรู้นี้ Lookout จึงสามารถสร้างรหัส QR ที่เป็นอันตรายซึ่งบังคับให้ Glass ดำเนินการโดยที่ผู้ใช้ไม่ทราบ

Wi-Fi ที่หล่อด้วยแก้วและเป็นอันตราย

การค้นหารหัส QR ที่เป็นอันตรายครั้งแรกที่สร้างขึ้นจะเริ่มต้น "Glass-cast" โดยที่ผู้ใช้ไม่ทราบ สำหรับผู้ที่ไม่ได้ฝึกหัดนักแสดงแก้วจะแชร์สิ่งที่ปรากฏบนหน้าจอ Google Glass กับอุปกรณ์บลูทู ธ ที่จับคู่

โรเจอร์สชี้ให้เห็นว่านี่เป็นคุณลักษณะที่ทรงพลังจริงๆ "ถ้าคุณดู UI ของแก้วคนเดียวก็สามารถใส่ได้" เขาอธิบาย ด้วย Glass-cast ผู้สวมใส่สามารถแชร์มุมมองของตนกับผู้อื่น อย่างไรก็ตามโค้ด QR ที่เป็นอันตรายของ Lookout จะเรียกใช้ Glass-cast ทั้งหมดโดยที่ผู้ใช้ไม่รู้ตัว

ในขณะที่ความคิดของใครบางคนที่สามารถดูหน้าจอเพื่อวางตำแหน่งใบหน้าของคุณอย่างสับสนอึกทึกมากการโจมตีมีข้อ จำกัด บางอย่างชัดเจน ก่อนอื่นผู้โจมตีจะต้องอยู่ใกล้พอที่จะรับการส่งข้อมูลผ่านบลูทู ธ ยิ่งไปกว่านั้นผู้โจมตีจะต้องจับคู่อุปกรณ์บลูทู ธ กับ Google Glass ของคุณซึ่งจะต้องมีการเข้าถึงทางกายภาพ แม้ว่า Rogers จะชี้ให้เห็นว่าการทำเช่นนั้นคงไม่ใช่เรื่องยากเพราะ Glass "ไม่มีหน้าจอล็อคและคุณสามารถยืนยันได้เพียงแค่แตะ"

ปัญหาที่หนักหนาสาหัสกว่าเดิมคือการเฝ้าระวังโค้ด QR ที่เป็นอันตรายครั้งที่สองซึ่งบังคับให้ Glass เชื่อมต่อกับเครือข่าย Wi-Fi ที่กำหนดทันทีที่สแกน “ โดยที่ไม่ได้ตระหนักว่าแก้วของคุณเชื่อมต่อกับจุดเชื่อมต่อของเขาและเขาสามารถเห็นการจราจรของคุณได้” โรเจอร์สกล่าว เขานำสถานการณ์ไปอีกขั้นหนึ่งโดยกล่าวว่าผู้โจมตีสามารถ "ตอบกลับด้วยช่องโหว่ของเว็บและ ณ จุดนั้นแก้วถูกแฮ็ค"

นี่เป็นเพียงตัวอย่าง แต่ปัญหาพื้นฐานคือ Google ไม่เคยคำนึงถึงสถานการณ์ที่ผู้ใช้จะถ่ายภาพ QR โค้ดโดยไม่รู้ตัว ผู้โจมตีสามารถโพสต์รหัส QR ที่เป็นอันตรายในสถานที่ท่องเที่ยวยอดนิยมหรือแต่งตัวรหัส QR เพื่อเป็นการดึงดูด ไม่ว่าวิธีการจัดส่งใดผลลัพธ์จะไม่ปรากฏแก่ผู้ใช้

Google เพื่อช่วยเหลือ

เมื่อ Lookout พบช่องโหว่แล้วพวกเขารายงานต่อ Google ผู้ซึ่งส่งการแก้ไขให้ภายในสองสัปดาห์ "มันเป็นสัญญาณที่ดีที่ Google จัดการช่องโหว่เหล่านี้และจัดการปัญหานี้ให้เป็นปัญหาซอฟต์แวร์" Rogers กล่าว "พวกเขาสามารถทำการอัปเดตอย่างเงียบ ๆ และแก้ไขช่องโหว่ก่อนที่ผู้ใช้จะตระหนักถึงปัญหา"

ในซอฟต์แวร์ Glass เวอร์ชันใหม่คุณต้องไปยังเมนูการตั้งค่าที่เกี่ยวข้องก่อนที่รหัส QR จะมีผล ตัวอย่างเช่นหากต้องการใช้รหัส QR เพื่อเชื่อมต่อกับเครือข่าย Wi-Fi คุณต้องอยู่ในเมนูการตั้งค่าเครือข่ายก่อน Glass จะแจ้งผู้ใช้เกี่ยวกับสิ่งที่โค้ด QR ทำและขออนุญาตก่อนดำเนินการ

ระบบใหม่นี้สันนิษฐานว่าคุณรู้ว่าโค้ด QR จะทำอะไรก่อนที่คุณจะสแกนซึ่งเห็นได้ชัดว่าเป็นสิ่งที่ Google ตั้งใจไว้ตั้งแต่เริ่มต้น นอกเหนือจาก Glass แล้ว Google ยังสร้างแอพคู่หูสำหรับโทรศัพท์ Android ที่สร้างรหัส QR เพื่อให้ผู้ใช้สามารถกำหนดค่าอุปกรณ์ Glass ได้อย่างรวดเร็ว Google ไม่ได้คาดหวังว่ารหัส QR เป็นหนทางในการโจมตี

ในอนาคต

เมื่อฉันพูดคุยกับ Rogers เขามองโลกในแง่ดีเกี่ยวกับอนาคตของ Glass และผลิตภัณฑ์เช่นนั้น เขาบอกว่าความเร็วในการตอบสนองของ Google และความสะดวกในการใช้งานการอัปเดตนั้นเป็นแบบอย่าง อย่างไรก็ตามฉันไม่สามารถช่วยได้ แต่มองไปที่ระบบนิเวศ Android ที่ร้าวและกังวลว่าอุปกรณ์และช่องโหว่ในอนาคตอาจไม่ได้รับการจัดการอย่างคล่องแคล่ว

Rogers เปรียบเทียบปัญหากับ Glass กับที่พบในอุปกรณ์การแพทย์ซึ่งถูกค้นพบเมื่อหลายปีก่อน แต่ยังไม่ได้รับการแก้ไขอย่างเต็มที่ "เราไม่สามารถจัดการได้เหมือนฮาร์ดแวร์คงที่ด้วยเฟิร์มแวร์ที่เราไม่เคยอัพเดต" เขากล่าว "เราต้องคล่องแคล่ว"

แม้เขาจะมองโลกในแง่ดีโรเจอร์สก็มีคำเตือน "สิ่งใหม่หมายถึงช่องโหว่ใหม่" เขากล่าว "คนเลวปรับตัวและลองทำสิ่งต่าง ๆ "

อย่ามองตอนนี้! google แก้ว pwned โดยรหัส QR ต่ำต้อย