וִידֵאוֹ: 4%~`∫ƒ∆∑˜∂ˆ∑ª•£¥ª® (נוֹבֶמבֶּר 2024)
מוקדם יותר השבוע, כתבנו כיצד ניתן להשתמש בתכונות מסוימות של Google Glass כקטורי התקפה. ובכן קורא עדין, זה כבר קרה: Lookout הודיעו כי גילו פגיעות קריטית ב- Google Glass. למרבה המזל, גוגל כבר תיקנה את הבעיה.
אנליסט האבטחה הראשי של Lookout, מארק רוג'רס, אמר ל- SecurityWatch שגילה פגיעות באופן בו המחשב הביש מעבד קודי QR. בגלל ממשק המשתמש המוגבל של גלאס, גוגל הקימה את מצלמת המכשיר כך שתעבד אוטומטית כל קוד QR בצילום.
"לכאורה זו התפתחות ממש מרגשת", אמר רוג'רס. "אבל הבעיה היא ברגע שגלס רואה קוד פקודה שהוא מזהה, היא מבצעת אותו." בעזרת ידע זה, Lookout הצליחה לייצר קודי QR זדוניים שאילצו את גלאס לבצע פעולות ללא ידיעת המשתמש.
Wi-Fi יצוק זכוכית וזכוכית
קוד ה- QR הזדוני הראשון שנוצר היה יוצר "יציקת זכוכית" ללא ידיעת המשתמש. ליהודים מזכוכית חולקים כל מה שמופיע על גבי מסך זכוכית גלאס למכשיר Bluetooth מזווג.
רוג'רס ציין כי זו למעשה תכונה עוצמתית. "אם אתה מסתכל על ממשק המשתמש של הזכוכית, אדם אחד יכול ללבוש אותו רק", הסביר. בעזרת יציקת זכוכית, הלובש יכול לחלוק את דעתם עם אנשים אחרים. עם זאת, קוד ה- QR הזדוני של Lookout הפעיל יציקת זכוכית לחלוטין ללא ידיעת המשתמש.
בעוד שהרעיון של מישהו להיות מסוגל לראות מסך שמוצב בצורה כה אינטימית בפניך מרתיע ביותר, למתקפה יש כמה מגבלות ברורות. בראש ובראשונה, תוקף יצטרך להיות קרוב מספיק כדי לקבל את השידור באמצעות Bluetooth. יתרה מכך, תוקף יצטרך להתאים את מכשיר ה- Bluetooth שלהם ל- Google Glass שלך, מה שיחייב גישה פיזית. אף על פי שרוג'רס מציין כי הדבר לא יהיה קשה מכיוון שלגלאס, "אין מסך נעילה ותוכל לאשר רק על ידי הקשה על זה."
מטריד יותר היה תצפית קוד QR זדוני שני שנוצר, שאילץ את גלאס להתחבר לרשת Wi-Fi ייעודית ברגע שנסרק. "מבלי להבין אפילו, הכוס שלך מחוברת לנקודת הגישה שלו והוא יכול לראות את התנועה שלך, " אמר רוג'רס. הוא לקח את התרחיש צעד אחד קדימה, ואמר כי התוקף יכול "להגיב בפגיעות ברשת ובאותה נקודה גלס נפרצת."
אלה רק דוגמאות, אך הבעיה העומדת בבסיסה היא שגוגל מעולם לא הביאה בחשבון תרחישים שבהם המשתמשים היו מצליחים לצלם קוד QR מבלי משים. תוקף יכול פשוט לפרסם קוד QR זדוני במקום תיירותי פופולרי, או להלביש את קוד ה- QR כמפתה. תהיה שיטת המסירה תהיה אשר תהיה, התוצאה תהיה בלתי נראית למשתמש.
גוגל להצלה
לאחר שמציאת Lookout מצאה את הפגיעות, הם דיווחו על כך לגוגל שדחפה את התיקון תוך שבועיים. "זה סימן טוב לכך שגוגל מנהלת את הפגיעויות הללו ומתייחסת אליהן כאל בעיה בתוכנה", אמרה רוג'רס. "הם יכולים לפרסם את העדכונים בשקט ולתקן פגיעויות לפני שמשתמשים אפילו מודעים לבעיה."
בגירסה החדשה של תוכנת הזכוכית, עליכם לנווט לתפריט הגדרות רלוונטי לפני שקוד QR יכול להיכנס לתוקף. לדוגמה, כדי להשתמש בקוד QR כדי להתחבר לרשת Wi-Fi, תחילה עליך להיות בתפריט הגדרות הרשת. גלאס תודיע כעת למשתמש גם על קוד ה- QR שעושה, ותבקש רשות לפני ביצועו.
מערכת חדשה זו מניחה שאתה יודע מה קוד ה- QR יעשה לפני שתסרוק אותו, וזה ככל הנראה מה שהתכוונה בגוגל מההתחלה. בנוסף ל- Glass, גוגל יצרה אפליקציה נלווית לטלפונים אנדרואיד היוצרת קודי QR כך שמשתמשים יכולים להגדיר במהירות את מכשירי ה- Glass שלהם. גוגל פשוט לא ראתה קודי QR כאמצעי להתקפה.
בעתיד
כשדיברתי עם רוג'רס הוא היה מאוד אופטימי לגבי העתיד של גלאס, ומוצרים כאלה. הוא אמר כי מהירות התגובה של גוגל והקלות בה פורס העדכון היו למופת. עם זאת, אינני יכול שלא להתבונן במערכת האקולוגית השבורה של אנדרואיד ולדאוג כי יתכן שטיפלות במכשירים ונקודות תורפה עתידיות לא כל כך.
רוג'רס השווה את הנושאים עם גלאס לאלו שנמצאו בציוד רפואי, שהתגלו לפני שנים אך עדיין לא טופלו במלואם. "איננו יכולים להסתדר כמו חומרה סטטית עם קושחה שלעולם לא נעדכן", אמר. "אנחנו צריכים להיות זריזים."
למרות האופטימיות שלו, היו לרוג'רס כמה מילות זהירות. "דברים חדשים משמעותם פגיעויות חדשות, " אמר. "הרעים מסתגלים ומנסים דברים שונים."