Vídeo: Google Glass QR code exploit (Novembro 2024)
No início desta semana, escrevemos sobre como alguns recursos do Google Glass poderiam ser usados como vetores de ataque. Bom leitor, isso já aconteceu: a Lookout anunciou que descobriu uma vulnerabilidade crítica no Google Glass. Felizmente, o Google já corrigiu o problema.
O principal analista de segurança da Lookout, Marc Rogers, disse ao SecurityWatch que descobriu uma vulnerabilidade na maneira como o computador vestível processava códigos QR. Devido à interface limitada do usuário do Glass, o Google configurou a câmera do dispositivo para processar automaticamente qualquer código QR em uma fotografia.
"Em face disso, é um desenvolvimento realmente emocionante", disse Rogers. "Mas a questão é o momento em que o Glass vê um código de comando que reconhece e o executa". Com esse conhecimento, a Lookout conseguiu produzir códigos QR maliciosos que obrigavam o Glass a executar ações sem o conhecimento do usuário.
Wi-Fi malicioso e fundido em vidro
O primeiro código QR malicioso criado pelo Lookout iniciaria um "Glass-cast" sem o conhecimento do usuário. Para os não iniciados, a fundição de vidro compartilha o que aparece na tela do Google Glass em um dispositivo Bluetooth emparelhado.
Rogers apontou que esse era, na verdade, um recurso poderoso. "Se você olhar para a interface do usuário de vidro, ela só poderá ser usada por uma única pessoa", explicou ele. Com o Glass-cast, o usuário pode compartilhar sua visão com outras pessoas. O código QR malicioso da Lookout, no entanto, acionou um Glass-cast completamente sem o conhecimento do usuário.
Embora a ideia de alguém ser capaz de ver uma tela tão intimamente posicionada em seu rosto seja extremamente desconcertante, o ataque tem algumas limitações óbvias. Em primeiro lugar, um invasor precisa estar próximo o suficiente para receber a transmissão via Bluetooth. Além disso, um invasor teria que emparelhar o dispositivo Bluetooth com o Google Glass, o que exigiria acesso físico. Embora Rogers ressalte que fazer isso não seria difícil porque Glass "não tem tela de bloqueio e você pode confirmar apenas tocando nela".
Mais preocupante foi um segundo código QR malicioso criado pelo Lookout, que forçou o Glass a se conectar a uma rede Wi-Fi designada assim que foi digitalizada. "Mesmo sem perceber, seu Glass está conectado ao ponto de acesso dele e ele pode ver seu tráfego", disse Rogers. Ele levou o cenário um passo adiante, dizendo que o invasor poderia "responder com uma vulnerabilidade da Web e, nesse momento, o Glass é invadido".
Estes são apenas exemplos, mas o problema subjacente é que o Google nunca foi responsável por cenários em que os usuários fotografariam inconscientemente um código QR. Um invasor pode simplesmente postar um código QR malicioso em um ponto turístico popular ou vestir o código QR como uma tentação. Qualquer que seja o método de entrega, o resultado seria invisível para o usuário.
Google para o resgate
Depois que a Lookout encontrou a vulnerabilidade, eles a denunciaram ao Google, que lançou uma correção em duas semanas. "É um bom sinal de que o Google está gerenciando essas vulnerabilidades e tratando-as como um problema de software", disse Rogers. "Eles podem publicar as atualizações silenciosamente e corrigir vulnerabilidades antes que os usuários estejam cientes do problema."
Na nova versão do software Glass, você precisa navegar para um menu de configurações relevante antes que um código QR possa entrar em vigor. Por exemplo, para usar um código QR para conectar-se a uma rede Wi-Fi, você deve primeiro estar no menu de configurações de rede. Agora o Glass também informará o usuário sobre o que o código QR faz e pedirá permissão antes de executá-lo.
Esse novo sistema pressupõe que você saiba o que o código QR fará antes de digitalizá-lo, o que aparentemente é o que o Google pretendia desde o início. Além do Glass, o Google criou um aplicativo complementar para telefones Android, que cria códigos QR para que os usuários possam configurar rapidamente seus dispositivos Glass. O Google simplesmente não previa códigos QR como uma via de ataque.
No futuro
Quando falei com Rogers, ele estava muito otimista sobre o futuro do Glass e produtos como ele. Ele disse que a velocidade da resposta do Google e a facilidade com que a atualização foi implantada foram exemplares. No entanto, não posso deixar de olhar para o ecossistema do Android fraturado e me preocupo com o fato de que dispositivos e vulnerabilidades futuras não possam ser tratadas com tanta habilidade.
Rogers comparou os problemas com o Glass aos encontrados em equipamentos médicos, que foram descobertos anos atrás, mas ainda não foram totalmente resolvidos. "Não podemos gerenciar como hardware estático com firmware que nunca atualizamos", disse ele. "Precisamos ser ágeis."
Apesar de seu otimismo, Rogers teve algumas palavras de cautela. "Coisas novas significam novas vulnerabilidades", disse ele. "Os bandidos se adaptam e tentam coisas diferentes."