- PVSM.RU - https://www.pvsm.ru -

Google исправил уязвимость, позволявшую получить полный удалённый доступ к Glass

image

Компания Lookout, занимающаяся исследованиями по безопасности, обнаружила уязвимость в Google Glass, которая позволяла с помощью QR-кодов перенять контроль над устройством, пишет [1] The Verge. Google уже исправил уязвимость, что позволило Lookout рассказать детали того, как работал эксплойт.

Используя QR-код, в Lookout смогли незаметно подключить Glass к точке доступа Wi-Fi, что позволило исследователям просматривать все данные, поступающие в устройство и из него. В сочетании с сетевой уязвимостью в Android 4.0.4, эксплойт давал исследователям полный контроль над Glass.

Уязвимость была основана на том, как устроен процесс настройки Google Glass. Поскольку такое устройство, как очки, лишено клавиатуры и прочих устройств ввода, то для их настройки нужно сфотографировать встроенной камерой подготовленный QR-код, после чего будут автоматически приняты новые параметры.

Как пишет [2] SlashGear, именно то, что настройка происходила автоматически — без уведомления пользователя об определении QR-кода и изменении параметров — позволяло использовать уязвимость. С помощью реверсного инжиниринга QR-кодов от Google можно было создать свой QR-код, который бы подключал устройство к нужной злоумышленнику Wi-Fi-сети.

Используя программный инструмент SSLstrip, затем можно было получить доступ ко всему сетевому трафику Glass, например, к сообщениям, письмам и видеовстречам. Стоит отметить, что этот метод полагался на целый ряд факторов, и маловероятно, что он мог бы найти широкое применение.

Однако можно было пойти ещё дальше и используя уязвимость в Android 4.0.4, перенаправить Glass на страницу на беспроводной точке доступа и полностью перенять контроль над устройством, вплоть до того, чтобы перехватывать изображение с камеры и видеть то, что видит владелец очков.

Исследователи Lookout сообщили Google об уязвимости 16 мая, и уже 4 июня вышла исправленная прошивка XE6, в которой камера Glass распознаёт QR-коды не автоматически, а по вызову пользователя. Как говорят в Lookout, вряд ли это была единственная уязвимость в Glass, но остаётся надеяться, что к моменту выхода устройства на рынок его тщательно протестируют многочисленные разработчики.

Автор: aleksandrit

Источник [3]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/google/38924

Ссылки в тексте:

[1] пишет: http://www.theverge.com/2013/7/17/4531186/google-glass-exploit-qr-code-patch

[2] пишет: http://www.slashgear.com/google-glass-exploit-hacked-wearable-with-qr-codes-17290717/

[3] Источник: http://habrahabr.ru/post/186968/