Smart okuliare Google Glass využívajúce HUD, Head-Up displej, sa dali hacknúť QR kódom podstrčeným útočníkom, ktorý užívateľ okuliarov náhodou alebo vedome odfotil.
V stredu na to upozornila bezpečnostná spoločnosť Lookout, ktorá zraniteľnosť odhalila.
Google Glass pre možnosť jednoduchšej konfigurácie podľa zistení Lookout podporujú konfiguráciu okuliarov odfotením QR kódov, pričom takéto QR kódy hľadajú v každej odfotenej fotografii.
Konfigurovať cez QR kód je možné aj pripojenie k WiFi prístupovému bodu a po spracovaní takéhoto QR sa okuliare podľa Lookout automaticky pripoja k prístupovému bodu zakódovanému v informáciách v QR kóde. Útočník tak mohol takýmto spôsobom podstrčiť WiFi prístupový bod pod jeho kontrolou, pričom následne mohol sledovať internetovú komunikáciu okuliarov a samozrejme ju tiež modifikovať.
Keďže nie všetka komunikácia okuliarov s cloudovými servermi je šifrovaná, už jej sledovanie podľa Lookout odhaľuje viaceré informácie. Navyše spoločnosť ale dokázala okuliarom podstrčiť webovú stránku zneužívajúcu chybu v Androide 4.0.4 používanom okuliarmi a získať nad nimi kontrolu.
Zraniteľnosť bola nahlásená Google 16. mája, spoločnosť chybu odstránila v novej verzii softvéru XE6 zo 4. júna. Podľa dostupných informácií po aktualizácii sa QR kódy spracúvajú len po vyžiadaní užívateľom a nie automaticky.
Ilustrácia získania kontroly nad Google Glass (video: Lookout)
Google predstavil okuliare Glass v minulom roku, zatiaľ k nim majú prístup iba vývojári a obmedzená skupina záujemcov. Okuliare sú produktom z novej kategórie neustále nosených elektronických produktov, spolupracujú so smartphonom a sú vybavené okrem iného kamerou, mikrofónom, projektorovým displejom s rozlíšením 640 x 360 a touchpadom.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
da sa dat na apple mini android?
Od: Dado man
|
Pridané:
18.7.2013 10:41
da sa nainstovat na Ipad Mini android? Nie som odbornik v it.
Vytaca ma ta struktura a pouzivanie
|
|
Re: da sa dat na apple mini android?
Od reg.: 100k45h
|
Pridané:
18.7.2013 10:43
neda
|
|
Re: da sa dat na apple mini android?
Od reg.: 100k45h
|
Pridané:
18.7.2013 10:43
resp.. no da... ale nie je to pre IT neodbornika :-D
|
|
Re: da sa dat na apple mini android?
Od: gidy
|
Pridané:
18.7.2013 10:43
da.
cez podstrceny QR kod
|
|
Re: da sa dat na apple mini android?
Od: dopo
|
Pridané:
18.7.2013 13:59
tento hack tam umiestnil google zámerne, aby mohol ľahšie špehovať vývojárov a kradnúť im nápady.
Google Glass pre možnosť jednoduchšej konfigurácie podporujú konfiguráciu okuliarov odfotením QR kódov
=
pre jednoduchšie hacknutie
|
|
Re: da sa dat na apple mini android?
Od: gustonator
|
Pridané:
18.7.2013 11:04
A naco si si ho potom kupoval? Aby si bol cool?
|
|
naco by ho kupoval
Od: ch.
|
Pridané:
18.7.2013 11:11
mozno je to najlepsi HW ktory za danu cenu s danymi parametrami nasiel? Mna by tiez zaujimali porovnatelne alternativy
|
|
Re: da sa dat na apple mini android?
Od: pyrotechnik.
|
Pridané:
22.7.2013 16:30
mozno ho vyfasoval v banke
|
|
Re: da sa dat na apple mini android?
Od: sten
|
Pridané:
18.7.2013 15:26
Načo si si kupoval potom iPad? Chcel si machrovať s nakusnutým jablkom čo?
|
|
Re: da sa dat na apple mini android?
Od: Deer
|
Pridané:
19.7.2013 12:44
Android 404
|
|
gooooogol
Od reg.: kreten
|
Pridané:
18.7.2013 10:55
amazing google is amazing ...proste Google ide karta. Najprv zrusi 90% sluzieb, potom vo svojom ma chrumkavom androide 2 roky stare kriticke diery a zavrsi to jeho useless okuliarmi, ktore sa daju hacknut QR kodom ..proste amazing...
|
|
Re: gooooogol
Od: shutup
|
Pridané:
18.7.2013 11:11
no, pre objektivnost treba povedat, ze glass su stale v beta testingu, takze je asi normalne ze sa objavuju chyby
|
|
Re: gooooogol
Od: Rura
|
Pridané:
18.7.2013 21:08
Lenze toto nie je klasicka diera, ziaden buffer overflow, to je chyba by design. Proste vyvojari dostali od manezerov zadanie hladat vsade QR kody a automaticky sa riadit ich obsahom. Chybu teda urobil uz ten, kto taku blbost vobec navrhol.
Neviem ci len mne sa zda, ze Google v poslednej dobe vsetko kurvi, od sprasenych redizajnov webovych sluzieb az po taketo napady. Akoby to do ruk zobrali tradicni korporatni manezeri odtrhnuti od reality, a nie pocitacovi nadsenci aki tam boli kedysi. Google je IMHO na najlepsiej ceste stat sa dalsim Microsoftom... :-(
|
|
Re: gooooogol
Od: Hadimrska
|
Pridané:
22.7.2013 12:49
Suhlasim. Uz zrusili kopu uzitocnych sluzieb, ale zrusenim Latitude si to u mna fakt posrali. Google as stava dalsou korporatne riadenou firmou :(
|
|
Re: gooooogol
Od: security guy
|
Pridané:
18.7.2013 11:14
v googli aspon celkom rychlo vydaju update a je po probleme, naopak v inych spolocnostiach to nechaju dlho tak a cakaju na nejaky dalsi cyklus, a o mnoho veciach ani nic nepovedia a zatajuju. Vies kolko vulnerabilit je v IE? Kazdy mesiac vydava MS patche a skoro vzdy sa tykaju IE. Dalej JAVA, tam su uplne brutalne vulnerability totalne fatalne kazdu chvilu, a je nainstalovana na milionoch devicoch, aj v obrvoskych korporaciach. Linux mal donedavna v sebe 20 rokov staru bezpecnostnu chybu v kerneli. Vsetko je dopice derave tak drzte uz hubu o dierach.
|
|
Re: gooooogol
Od: musaka38
|
Pridané:
18.7.2013 11:24
co ze v gugli vydaju ? citaj co za bordel tam maju roky rokuce http://www.dsl.sk/article.php?article=14393&title=
|
|
Re: gooooogol
Od: zly neger
|
Pridané:
18.7.2013 12:29
samozrejme len ked o tom vedia, tak to plataju.
|
|
Re: gooooogol
Od reg.: Trovaricon
|
Pridané:
18.7.2013 18:02
Chcel si napisat, ze len ked o tom ludia (verejnost) vie :)
|
|
Re: gooooogol
Od: marosx
|
Pridané:
18.7.2013 21:13
A este aj tie baby maju nezaplatane diery ;)
|
|
da sa dat na apple mini android?
Od: dado man
|
Pridané:
18.7.2013 10:58
tak da sa alebo neda. Inak asi ho predam. Len je velmi pekny. Len to pouzivanie
|
|
Re: da sa dat na apple mini android?
Od: oOo
|
Pridané:
18.7.2013 11:18
Chod trollovat niekde inde, najlepsie niekam do pice
|
|
Re: da sa dat na apple mini android?
Od: paan
|
Pridané:
18.7.2013 12:23
aj ja som dostal ipad mini, no kym si na ios zvyknem a pochopim ho to trosku potrva, bojujem este len 2. den, predtym vsetko android, ale highend zariadenia, takze az tolko som nenadaval a v porovnani s ios su moznosti obrovske, doteraz som si to len myslel teraz to vidim, no ostavam na ios a neodporucam tam davat nieco, co bude fungovat max na 50 %, android na ipad je sprostost ako aj povedat, ze za tu cenu nenajdes lepsie zelezo s androidom
|
|
konfiguracia cez kody
Od reg.: roob_
|
Pridané:
18.7.2013 11:06
to je asi taka kktina jak teraz sa cele doobeda seriem s citackou ciarovych kodov, co sa konfiguruje cez ciarove kody, nieze by bola na to aplikacia a odfajkam co chcem, nie, cez kody, kkti. Vsetko nastavim vytiahnem z usb a zas to nefunguje. Asi ju dam na reklamaciu :/ Pointa: konfiguraciu treba spravit cez aplikaciu, ne kodmi
|
|
Re: konfiguracia cez kody
Od: fffffffffffffffffffffff
|
Pridané:
18.7.2013 14:06
Myslim, ze citacka ciarovych kodov je viac-menej autonomne zariadenie, len do usb (ci iny port) posiela naskenovane hodnoty, preto jej konfiguracia pomocou ciarkovych kodov je efektivne riesenie. Samozrejme, uzivatelsky pohdlnejsie riesenie by bolo pribalit nejaky soft na jej nakonfiguravanie aj z compu. To ze si tvoja nevie uchovat konfiguraciu bude asi nejaka "ficura" od jej vyrobcov pre kazdodenny trening konfiguracie :D
|
|
.....
Od reg.: raketa
|
Pridané:
18.7.2013 15:04
Google mal vzdy problemy s bezpecnostou, resp. nikdy ho bezpecnost nezaujimala...
|
|
Re: .....
Od: Alino
|
Pridané:
18.7.2013 17:09
bullshit, skor jeden z mala sa k tomu stava otvorene, hoci ma diery ako kazdy iny produkt, robi vsetko preto aby sa tie diery eliminovali. Sponzoruje hackerske sutaze, odmenuje nahlasenie bezpecnostnych dier v jeho produktoch slusnymi peniazmi. Bol jeden z prvych co zaviedli do svojej email sluzby dvojfaktorovu autentifikaciu...
|
|
Re: .....
Od: 6aaaaaa
|
Pridané:
19.7.2013 5:58
vdaka bohu ze mame 2faktorovu auth , teraz ma moze google kazdy tyzden otravovat s pridanim tel.cisláa
|
|
dsdsdsd
Od: webnick358
|
Pridané:
18.7.2013 21:57
Keby mi dakto pred desiatimi rokmi povedal, ze mi raz hacknu okuliare, tak ho strasne vysmejem.
|
|
Re: dsdsdsd
Od: prdlajs
|
Pridané:
18.7.2013 22:22
Davaj bacha, aby ti skor za 2 roky nehackli smart zachod. Taky spatny chod dokaze nastvat. Rovnako ako ked v kritickej chvili nan dobehnes a zistis, ze dekel je locknuty, lebo ti kamosi vcera na paarty po 3. promile zmenili PIN.
|
|
Re: dsdsdsd
Od: 6aaaaaa
|
Pridané:
19.7.2013 6:00
splachnu ho pod nim prave ked bude citat noviny :)
|
|
technologia
Od: prdlajs
|
Pridané:
18.7.2013 22:25
"...pričom takéto QR kódy hľadajú v každej odfotenej fotografii"
A co este hladaju v kazdej fotografii a robia automaticky? Zatial sa vie, ze je v ich zabudovane automaticke rozpoznavanie tvari (aj ked nepristupne pre aplikacie 3. stran, co vsak nevylucuje Google samotny). Som zvedavy, co vsetko tam parchanti poskryvali, co zasa raz nejakou takouto nahodou unikne.
|