Google исправил уязвимость, позволявшую получить полный удалённый доступ к Glass

    image

    Компания Lookout, занимающаяся исследованиями по безопасности, обнаружила уязвимость в Google Glass, которая позволяла с помощью QR-кодов перенять контроль над устройством, пишет The Verge. Google уже исправил уязвимость, что позволило Lookout рассказать детали того, как работал эксплойт.

    Используя QR-код, в Lookout смогли незаметно подключить Glass к точке доступа Wi-Fi, что позволило исследователям просматривать все данные, поступающие в устройство и из него. В сочетании с сетевой уязвимостью в Android 4.0.4, эксплойт давал исследователям полный контроль над Glass.

    Уязвимость была основана на том, как устроен процесс настройки Google Glass. Поскольку такое устройство, как очки, лишено клавиатуры и прочих устройств ввода, то для их настройки нужно сфотографировать встроенной камерой подготовленный QR-код, после чего будут автоматически приняты новые параметры.

    Как пишет SlashGear, именно то, что настройка происходила автоматически — без уведомления пользователя об определении QR-кода и изменении параметров — позволяло использовать уязвимость. С помощью реверсного инжиниринга QR-кодов от Google можно было создать свой QR-код, который бы подключал устройство к нужной злоумышленнику Wi-Fi-сети.

    Используя программный инструмент SSLstrip, затем можно было получить доступ ко всему сетевому трафику Glass, например, к сообщениям, письмам и видеовстречам. Стоит отметить, что этот метод полагался на целый ряд факторов, и маловероятно, что он мог бы найти широкое применение.



    Однако можно было пойти ещё дальше и используя уязвимость в Android 4.0.4, перенаправить Glass на страницу на беспроводной точке доступа и полностью перенять контроль над устройством, вплоть до того, чтобы перехватывать изображение с камеры и видеть то, что видит владелец очков.

    Исследователи Lookout сообщили Google об уязвимости 16 мая, и уже 4 июня вышла исправленная прошивка XE6, в которой камера Glass распознаёт QR-коды не автоматически, а по вызову пользователя. Как говорят в Lookout, вряд ли это была единственная уязвимость в Glass, но остаётся надеяться, что к моменту выхода устройства на рынок его тщательно протестируют многочисленные разработчики.
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 23

      +100
        +8
        Комментарий лучше статьи :-)
          0
          кстати, реально работают. я за 2 месяца в детстве на пол диоптрии улучшил.
            +1
            Я тоже. Правда без таких очков.
            Есть подозрение, что дело в том, что в детстве просто легче зрение исправлять…
            0
            они опередили свое время!
          • UFO just landed and posted this here
              +9
              — пишу с монокля…
            +5
            Kaspersky glass security 7.0 в подарок!
              +3
              И ведь кто-то принял решение сделать это фичу. Не особой кнопкой сброса, не подписанное гугловским сертификатом, не спрашивая разрешения пользователя, а вот так просто…
                +3
                Как-то слабо верится, что это случайный косяк. Больше похоже на мировой заговор.
                  0
                  Да нет, наивно полагать, будто у глупости есть границы.
                    0
                    Я не представляю себе массовый продукт в котором можно сделать намеренный эксплойт, без риска быть обнаруженным.
                    Все равно разберут по малейшим частям, найдут и прости прощай репутация. Да и зачем делать тайный эксплойт. Люди и так готовы делиться всем сокровенным под каким угодно предлогом. Так что если кто-то и захочет получить доступ к вашим данным, это точно будет не «сверхсекретная микросхема зла»
                      0
                      Бритва Хэнлона же!
                      +1
                      Обычный пользователь и так к открытому вайфаю подключится, так что много чего мы ещё увидим после распространения этох очков.
                        +6
                        Согласитесь, очень «концептуальная» уязвимость. Посмотрел на картинку — и уже под контролем хакеров. Как в романе жанра киберпанк, ну разве что очки пока не часть носителя.
                          –4
                          Или не в романе, а в манге. Первый приходящий на ум пример — «Метаморкод» Рю Канамэ, где специально подобранная картинка на экране монитора могла даже оказаться смертельною.

                          [кадр из манги «Метаморкод»]
                            0
                            Завязывайте. Лучше уж об евреях…
                          +7
                          В свете быстрого и постоянного развития технологий (в том числе гугл гласс) и того что гугл, майкрософт и прочие создают специальные возможности для специальных служб, которые вопреки законодательству могут делать что хотят, скоро мы получим полный контроль над обществом — люди будут видеть то, что должны видеть (по мнению спецслужб), получать ту информацию, которую нужно, и делать то что необходимо. Следующий этап — а почему это вы очки сняли? Вы что, не хотите видеть правду?
                            0
                            Что-то обратное этому
                            image

                              0
                              «люди будут видеть то, что должны видеть»
                              поисковики и так уже ранжируют
                              +1
                              Laughing man следит за тобой username
                                +1
                                Используя программный инструмент SSLstrip, затем можно было получить доступ ко всему сетевому трафику Glass,


                                Серьёзно? Нет, серьёзно?

                                Всё, что умеет делать SSLstrip — заменять ссылки вида https://* на http://* в страницах, переданных по HTTP. Какого чёрта Glass вообще запрашивает что-то по нешифрованному каналу?

                                Only users with full accounts can post comments. Log in, please.