ビデオ: Close Call (十一月 2024)
今週の初めに、Google Glassの一部の機能が攻撃ベクトルとしてどのように使用されるかについて説明しました。 よろしくお願いします。LookoutはGoogle Glassに重大な脆弱性を発見したことを発表しました。 ありがたいことに、Googleはすでにこの問題にパッチを当てています。
Lookoutの主要なセキュリティアナリストであるMarc Rogersは、ウェアラブルコンピューターがQRコードを処理する方法に脆弱性を発見したことをSecurityWatchに語りました。 Glassのユーザーインターフェースは限られているため、Googleは写真のQRコードを自動的に処理するようにデバイスのカメラを設定します。
「一見すると、それは本当にエキサイティングな開発です」とロジャーズは言いました。 「しかし、問題は、Glassが認識したコマンドコードを検出し、実行することです。」 この知識により、Lookoutはユーザーに気付かれずにGlassにアクションを実行させる悪意のあるQRコードを生成することができました。
ガラスキャストと悪意のあるWi-Fi
Lookoutが最初に作成した悪意のあるQRコードは、ユーザーの知らないうちに「グラスキャスト」を開始します。 未開始の場合、Glassキャストは、Google Glass画面に表示されるすべてのものをペアリングされたBluetoothデバイスと共有します。
ロジャースは、これは実際には強力な機能であると指摘しました。 「ガラスのUIを見ると、着用できるのは1人だけです」と彼は説明しました。 Glass-castを使用すると、着用者は自分の意見を他の人と共有できます。 ただし、Lookoutの悪意のあるQRコードは、ユーザーの知らないうちにGlassキャストをトリガーしました。
誰かがあなたの顔に密接に配置された画面を見ることができるという考えは非常に当惑していますが、攻撃にはいくつかの明らかな制限があります。 何よりもまず、攻撃者はBluetooth経由で送信を受信するために十分近くにいる必要があります。 さらに、攻撃者はBluetoothデバイスをGoogle Glassにペアリングする必要があり、物理アクセスが必要になります。 Rogersは、Glassには「ロック画面がなく、タップするだけで確認できる」ため、そうすることは難しくないと指摘しています。
さらに厄介なのは、Lookoutが作成した2番目の悪意のあるQRコードで、スキャンされるとすぐにGlassが指定のWi-Fiネットワークに接続することを強制しました。 「気付かないうちに、Glassはアクセスポイントに接続されており、トラフィックを見ることができます」とRogers氏は言います。 彼はシナリオをさらに一歩進め、攻撃者は「Webの脆弱性に対応し、その時点でGlassがハッキングされる」可能性があると述べました。
これらは単なる例にすぎませんが、根本的な問題は、ユーザーが無意識のうちにQRコードを撮影するシナリオをGoogleが考慮していないことです。 攻撃者は、単に人気のある観光スポットに悪意のあるQRコードを投稿したり、QRコードを魅力的な服装にしたりできます。 配信の方法が何であれ、結果はユーザーには見えません。
Googleによる救助
Lookoutはこの脆弱性を発見すると、2週間以内に修正をプッシュしたGoogleに報告しました。 「Googleがこれらの脆弱性を管理し、それらをソフトウェアの問題として扱っていることは良い兆候です」とRogers氏は述べています。 「ユーザーが問題に気付く前に、彼らはアップデートを静かに公開し、脆弱性を修正することができます。」
Glassソフトウェアの新しいバージョンでは、QRコードを有効にする前に、関連する設定メニューに移動する必要があります。 たとえば、QRコードを使用してWi-Fiネットワークに接続するには、まずネットワーク設定メニューを開く必要があります。 また、GlassはQRコードの機能についてユーザーに通知し、実行する前に許可を求めます。
この新しいシステムは、スキャンする前にQRコードが何をするかを知っていることを前提としています。これは明らかにGoogleが最初から意図したことです。 Googleは、Glassに加えて、ユーザーがGlassデバイスをすばやく設定できるようにQRコードを作成するAndroidスマートフォン用のコンパニオンアプリを作成しました。 Googleは単にQRコードを攻撃の手段とは考えていませんでした。
将来は
ロジャースと話をしたとき、彼はGlassの将来とそのような製品について非常に楽観的でした。 彼は、Googleの対応の速度と更新プログラムの展開の容易さは模範的であると述べました。 ただし、壊れたAndroidエコシステムを見て、将来のデバイスと脆弱性がそれほど巧妙に処理されないのではないかと心配するしかありません。
RogersはGlassの問題と医療機器で見つかった問題を比較しました。これらは数年前に発見されましたが、まだ完全には対処されていません。 「ファームウェアを更新することなく、静的なハードウェアのように管理することはできません」と彼は言いました。 「アジャイルである必要があります。」
彼の楽観にもかかわらず、ロジャースはいくつかの注意の言葉を持っていた。 「新しいことは新しい脆弱性を意味する」と彼は言った。 「悪者は順応し、さまざまなことを試みます。」