视频: æ½®å·å¸å ´ä¸é¶ç·æéå ¬å¸ä¼ä¸å®£ä¼ ç (十一月 2024)
本周初,我们写了关于如何将Google Glass的某些功能用作攻击媒介的文章。 很好的读者,它已经过去了:Lookout宣布他们发现了Google Glass中的一个严重漏洞。 值得庆幸的是,Google已经修复了该问题。
Lookout的首席安全分析师Marc Rogers告诉SecurityWatch,发现了可穿戴计算机如何处理QR码的漏洞。 由于Glass的用户界面有限,因此Google将设备的相机设置为自动处理照片中的任何QR码。
罗杰斯说:“从表面上看,这是一个非常令人兴奋的发展。” “但是问题在于,当Glass看到它识别出的命令代码并执行它时。” 有了这些知识,Lookout便能够生成恶意QR码,从而迫使Glass在用户不知情的情况下执行操作。
玻璃铸造和恶意Wi-Fi
创建的第一个恶意QR码Lookout将在用户不知情的情况下启动“玻璃铸造”。 对于未开始使用的人,Glass广播会将Google Glass屏幕上显示的内容共享给已配对的Bluetooth设备。
罗杰斯指出,这实际上是一个强大的功能。 他解释说:“如果您看玻璃UI,则只能由一个人佩戴。” 借助Glass-cast,佩戴者可以与其他人分享他们的观点。 但是,Lookout的恶意QR码完全在用户不知情的情况下触发了Glass-cast。
虽然有人能够观看如此紧密地贴在您脸上的屏幕的想法令人非常不安,但这种攻击有一些明显的局限性。 首先,攻击者必须足够近才能通过蓝牙接收传输。 而且,攻击者必须将其蓝牙设备与您的Google Glass配对,这需要进行物理访问。 尽管罗杰斯(Rogers)指出这样做很容易,因为“格拉斯(Glass)”,但“没有锁屏,您只需轻按即可确认。”
更麻烦的是创建了第二个恶意QR码Lookout,这迫使Glass在扫描后立即连接到指定的Wi-Fi网络。 罗杰斯说:“甚至没有意识到它,您的Glass便连接到他的接入点,他就能看到您的访问量。” 他进一步采取了这种措施,说攻击者可以“对Web漏洞做出回应,到那时Glass会遭到黑客攻击”。
这些只是示例,但潜在的问题是Google从来没有考虑用户会不经意地拍摄QR码的情况。 攻击者可能只是在受欢迎的旅游景点中张贴了恶意QR码,或将其装扮成诱人的东西。 无论采用哪种交付方式,结果对于用户都是不可见的。
谷歌救援
当Lookout发现该漏洞后,他们将其报告给Google,后者在两周内推出了修复程序。 罗杰斯说:“这是一个很好的信号,表明Google正在管理这些漏洞并将其视为软件问题。” “他们可以在用户甚至没有意识到问题之前,以静默方式发布更新并修复漏洞。”
在新版的Glass软件中,必须先导航到相关的设置菜单,然后QR码才能生效。 例如,要使用QR码连接到Wi-Fi网络,必须首先在网络设置菜单中。 Glass现在还将通知用户有关QR码的作用,并在执行前征求许可。
这个新系统假定您在扫描QR码之前就知道该做什么,这显然是Google从一开始就打算的。 除了Glass之外,Google还为Android手机创建了一个配套应用,该应用可以创建QR码,以便用户快速配置其Glass设备。 Google只是没有预见QR码是攻击的途径。
在将来
当我与罗杰斯(Rogers)交谈时,他对Glass以及类似产品的未来非常乐观。 他说,谷歌的响应速度和部署更新的便捷性堪称典范。 但是,我不禁要看一下破碎的Android生态系统,并担心将来的设备和漏洞可能无法得到如此巧妙的处理。
罗杰斯将玻璃的问题与医疗设备中发现的问题进行了比较,这些问题是在几年前发现的,但至今尚未得到充分解决。 他说:“我们不能像使用永不更新的固件那样管理静态硬件。” “我们需要敏捷。”
尽管他很乐观,但罗杰斯确实有些谨慎。 他说:“新事物意味着新的漏洞。” “坏家伙会适应并尝试不同的事情。”
