비디오: Обзор Google Glass 2 — новая версия (십월 2024)
이번 주 초에 Google Glass의 일부 기능을 공격 경로로 사용하는 방법에 대해 썼습니다. 독자 여러분, 이미 통과했습니다. Lookout은 구글 글래스에서 치명적인 취약점을 발견했다고 발표했습니다. 다행히도 Google은 이미이 문제를 해결했습니다.
Lookout의 주요 보안 분석가 인 Marc Rogers는 SecurityWatch에 웨어러블 컴퓨터가 QR 코드를 처리하는 방식의 취약점을 발견했다고 말했습니다. Glass의 제한된 사용자 인터페이스로 인해 Google은 사진의 QR 코드를 자동으로 처리하도록 장치의 카메라를 설정했습니다.
로저스는“그것에 직면하면 정말 흥미로운 개발이다. "하지만 문제는 Glass가 인식하는 명령 코드를보고 실행하는 순간입니다." 이러한 지식으로 Lookout은 Glass가 사용자 모르게 작업을 수행하도록하는 악성 QR 코드를 생성 할 수있었습니다.
유리 방송 및 악성 Wi-Fi
처음 생성 된 악성 QR 코드 Lookout은 사용자 모르게 "Glass-cast"를 시작합니다. 초기에 Glass-casting은 Google Glass 화면에 나타나는 모든 것을 페어링 된 Bluetooth 장치와 공유합니다.
로저스는 이것이 실제로 강력한 기능이라고 지적했다. "유리 UI를 보면 한 사람 만 착용 할 수있다"고 설명했다. Glass-cast를 사용하면 착용자가 다른 사람들과 의견을 공유 할 수 있습니다. 그러나 Lookout의 악의적 인 QR 코드는 사용자 모르게 Glass-cast를 시작했습니다.
누군가가 얼굴에 너무 가깝게 화면을 볼 수 있다는 아이디어는 매우 당혹 스럽지만 공격에는 몇 가지 명백한 한계가 있습니다. 가장 먼저 공격자는 블루투스를 통해 전송을 수신 할 수있을 정도로 가까이 있어야합니다. 또한 공격자는 블루투스 기기를 Google Glass와 페어링해야합니다. 물리적 액세스가 필요합니다. 로저스는 글래스 때문에 그렇게하기가 어렵지 않을 것이라고 지적했지만, "잠금 화면이 없기 때문에 누르기 만하면 확인할 수 있습니다."
또 다른 문제는 Glass가 검색 되 자마자 지정된 Wi-Fi 네트워크에 연결되도록하는 두 번째 악성 QR 코드 Lookout이 만들어 졌다는 것입니다. 로저스는“이를 실현하지 않고도 Glass는 자신의 액세스 포인트에 연결되어 트래픽을 볼 수있다. 그는이 시나리오를 한 단계 더 발전시켜 공격자가 "웹 취약점에 대응할 수 있으며 그 시점에서 Glass가 해킹 당할 수있다"고 말했다.
이것들은 단지 예일 뿐이지 만 근본적인 문제는 사용자가 자신도 모르게 QR 코드를 촬영하는 시나리오를 Google이 설명하지 않았다는 것입니다. 공격자는 인기있는 관광지에 악의적 인 QR 코드를 게시하거나 QR 코드를 유혹하는 것으로 만들 수 있습니다. 전달 방법이 무엇이든 결과는 사용자에게 보이지 않습니다.
구조에 구글
Lookout이 취약점을 발견 한 후 2 주 이내에 수정 프로그램을 배포 한 Google에보고했습니다. "Google이이 취약점을 관리하고이를 소프트웨어 문제로 취급하고 있다는 것은 좋은 신호입니다."라고 Rogers는 말했습니다. "사용자는 문제를 알기 전에 업데이트를 자동으로 내보내고 취약점을 수정할 수 있습니다."
Glass 소프트웨어의 새 버전에서는 QR 코드를 적용하기 전에 관련 설정 메뉴로 이동해야합니다. 예를 들어 QR 코드를 사용하여 Wi-Fi 네트워크에 연결하려면 먼저 네트워크 설정 메뉴에 있어야합니다. Glass는 이제 QR 코드의 기능을 사용자에게 알리고 실행하기 전에 권한을 요청합니다.
이 새로운 시스템은 QR 코드를 스캔하기 전에 QR 코드가 무엇을하는지 아는 것으로 가정합니다. 이는 Google이 처음부터 의도 한 것입니다. Google은 Glass 외에도 QR 코드를 생성하여 Android 기기를 빠르게 구성 할 수있는 Android 휴대 전화 용 보조 앱을 만들었습니다. 구글은 단순히 QR 코드를 공격의 수단으로 예측하지 않았다.
미래에
내가 Rogers와 이야기했을 때 그는 Glass의 미래와 그와 같은 제품에 대해 매우 낙관적이었습니다. 그는 구글의 반응 속도와 업데이트 배포의 편의성이 모범적이라고 말했다. 그러나 나는 파괴 된 안드로이드 생태계를 볼 수는 없지만 미래의 장치와 취약점이 그렇게 다루어지지 않을까 걱정하고 있습니다.
Rogers는 Glass와 관련된 문제를 몇 년 전에 발견되었지만 아직 완전히 해결되지 않은 의료 장비에서 발견 된 문제와 비교했습니다. "우리는 절대 업데이트하지 않는 펌웨어로 정적 하드웨어처럼 관리 할 수 없습니다." "민첩해야합니다."
그의 낙관에도 불구하고 Rogers는주의 할 점이있었습니다. "새로운 것은 새로운 취약점을 의미한다"고 그는 말했다. "나쁜 사람들은 다른 것을 적응시키고 시도한다."
