Video: Google Glass Explorer Edition: Explained! (Nobyembre 2024)
Mas maaga sa linggong ito, nagsulat kami tungkol sa kung paano ang ilang mga tampok ng Google Glass ay maaaring magamit bilang mga vectors ng pag-atake. Mabuti ang mambabasa, naganap na: Inanunsyo ng Lookout na natuklasan nila ang isang kritikal na kahinaan sa Google Glass. Sa kabutihang palad, naka-patched na ang Google sa isyu.
Ang pangunahing tagapag-analisa ng seguridad ng Lookout na si Marc Rogers ay nagsabi sa SecurityWatch na natuklasan ang isang kahinaan sa kung paano naproseso ang mga gamit na computer na mga QR code. Dahil sa limitadong interface ng gumagamit, basahin ng Google ang camera ng aparato upang awtomatikong iproseso ang anumang QR code sa isang litrato.
"Sa harap nito, talagang kapana-panabik na pag-unlad, " sabi ni Rogers. "Ngunit ang isyu ay ang sandali na Nakakita ang Glass ng isang code ng utos na kinikilala nito, ginagawa nito." Sa kaalamang ito, nakagawa ng Lookout ang mga nakakahamak na QR code na pinilit ang Glass na magsagawa ng mga aksyon nang walang kaalaman ng gumagamit.
Glass-cast at Malicious Wi-Fi
Ang unang nakakahamak na QR code na Lookout na nilikha ay magsisimula ng isang "Glass-cast" nang walang kaalaman ng gumagamit. Para sa hindi pinag-iisa, pagbabahagi ng Glass-paghahagis ng anumang lumilitaw sa screen ng Google Glass sa isang ipinares na aparato ng Bluetooth.
Itinuturo ni Rogers na ito ay, talaga, isang malakas na tampok. "Kung titingnan mo ang glass UI, maaari lamang itong magsuot ng isang solong tao, " paliwanag niya. Sa Glass-cast, maaaring ibahagi ng nagsusuot ang kanilang pananaw sa ibang tao. Ang nakakahamak na QR code ng Lookout, gayunpaman, nag-trigger ng isang Glass-cast na buo nang walang kaalaman ng gumagamit.
Habang ang ideya ng isang tao na maaaring matingnan ang isang screen na napakalapit na nakaposisyon sa iyong mukha ay lubos na nagkakasundo, ang pag-atake ay may ilang mga halatang limitasyon. Una at pinakamahalaga, ang isang umaatake ay kailangang malapit nang sapat upang matanggap ang paghahatid sa pamamagitan ng Bluetooth. Ano pa, ang isang magsasalakay ay kailangang ipares ang kanilang aparato sa Bluetooth sa iyong Google Glass, na mangangailangan ng pisikal na pag-access. Kahit na itinuturo ng Rogers na gawin ito ay hindi magiging mahirap dahil sa Salamin, "walang lockscreen at maaari mong kumpirmahin lamang sa pamamagitan ng pag-tap ito."
Ang mas nakakagambala ay isang pangalawang nakakahamak na QR code na Lookout na nilikha, na pinilit ang Glass na kumonekta sa isang itinalagang network ng Wi-Fi sa sandaling na-scan ito. "Nang hindi mo ito napagtanto, ang iyong Salamin ay konektado sa kanyang access point at makikita niya ang iyong trapiko, " sabi ni Rogers. Kinuha niya ang senaryo nang isang hakbang pa, sinabi na ang mananalakay ay maaaring, "tumugon sa isang kahinaan sa web, at sa puntong iyon ay mai-hack ang Glass."
Ito ay mga halimbawa lamang, ngunit ang salungguhit na isyu ay hindi kailanman accounted ng Google ang mga senaryo kung saan hindi sinasadya na kunan ng larawan ng mga gumagamit ang isang QR code. Ang isang nagsasalakay ay maaaring mag-post lamang ng isang nakakahamak na QR code sa isang tanyag na lugar ng turista, o magbihis ng QR code bilang isang panunukso. Anuman ang paraan ng paghahatid, ang resulta ay hindi makikita ng gumagamit.
Google sa Pagsagip
Kapag natagpuan ng Lookout ang kahinaan, iniulat nila ito sa Google na nagtulak sa isang pag-aayos sa loob ng dalawang linggo. "Ito ay isang mahusay na pag-sign na pinamamahalaan ng Google ang mga kahinaan at paggamot sa mga ito bilang isang problema sa software, " sabi ni Rogers. "Maaari nilang alisin ang mga pag-update nang tahimik at ayusin ang mga kahinaan bago pa alam ng mga gumagamit ang problema."
Sa bagong bersyon ng software ng Salamin, kailangan mong mag-navigate sa isang naaangkop na menu ng mga setting bago ang epekto ng QR code. Halimbawa, upang gumamit ng QR code upang kumonekta sa isang Wi-Fi network, dapat ka muna sa menu ng mga setting ng network. Sasabihan din ngayon ng salamin ang gumagamit tungkol sa kung ano ang ginagawa ng QR code, at humiling ng pahintulot bago isagawa ito.
Inihahatid ng bagong system na alam mo kung ano ang gagawin ng QR code bago mo i-scan ito, na tila ang inilaan ng Google mula sa simula. Bilang karagdagan sa Glass, nilikha ng Google ang isang kasamang app para sa mga teleponong Android na lumilikha ng mga QR code upang mabilis na mai-configure ng mga gumagamit ang kanilang mga aparato sa Glass. Hindi lamang inasahan ng Google ang mga QR code bilang isang paraan para sa pag-atake.
Sa Hinaharap
Kapag nakipag-usap ako kay Rogers siya ay napaka-maasahin sa mabuti tungkol sa hinaharap ng Glass, at mga produkto tulad nito. Sinabi niya na ang bilis ng tugon ng Google at ang kadalian kung saan na-update ang pag-update ay huwaran. Gayunpaman, hindi ko maiwasang tingnan ang nabali na ecosystem ng Android at nag-aalala na ang mga hinaharap na aparato at kahinaan ay maaaring hawakan nang labis.
Inihambing ng mga Rogers ang mga isyu sa Glass sa mga natagpuan sa kagamitang medikal, na natuklasan mga taon na ang nakalilipas ngunit hindi pa rin ganap na natugunan. "Hindi namin maaaring pamahalaan tulad ng static hardware na may firmware na hindi namin na-update, " aniya. "Kailangan nating maliksi."
Sa kabila ng kanyang pag-asa, si Rogers ay may ilang mga salita ng pag-iingat. "Ang mga bagong bagay ay nangangahulugang mga bagong kahinaan, " aniya. "Ang mga masamang tao ay umangkop at subukan ang iba't ibang mga bagay."
