Vidéo: Google Glass QR code exploit (Novembre 2024)
Plus tôt cette semaine, nous avons expliqué comment certaines fonctionnalités de Google Glass pourraient être utilisées comme vecteurs d’attaque. Eh bien, gentil lecteur, cela se fait déjà: Lookout a annoncé la découverte d’une vulnérabilité critique dans Google Glass. Heureusement, Google a déjà corrigé le problème.
Le principal analyste de la sécurité de Lookout, Marc Rogers, a déclaré à SecurityWatch avoir découvert une vulnérabilité dans la manière dont l'ordinateur portable traitait les codes QR. En raison de l'interface utilisateur limitée de Glass, Google a configuré l'appareil photo de l'appareil pour qu'il traite automatiquement tout code QR sur une photo.
"A première vue, c'est un développement vraiment excitant", a déclaré Rogers. "Mais le problème est le moment où Glass voit un code de commande qu'il reconnaît, il l'exécute." Fort de cette connaissance, Lookout était capable de produire des codes QR malveillants obligeant Glass à effectuer des actions à l'insu de l'utilisateur.
Wi-Fi moulé en verre et malicieux
Le premier code QR malveillant créé par Lookout initierait un "casting de verre" à l'insu de l'utilisateur. Pour les non-initiés, Glass-Cast partage tout ce qui apparaît sur l'écran de Google Glass à un appareil Bluetooth couplé.
Rogers a souligné qu'il s'agissait en fait d'une fonctionnalité puissante. "Si vous regardez l'interface en verre, elle ne peut être portée que par une seule personne", a-t-il expliqué. Avec Glass-cast, le porteur peut partager son point de vue avec d'autres personnes. Le code QR malveillant de Lookout, cependant, a déclenché un casting de verre entièrement à l'insu de l'utilisateur.
Bien que l'idée de pouvoir voir un écran si étroitement positionné sur votre visage soit extrêmement déconcertante, l'attaque présente certaines limites évidentes. Avant tout, un attaquant devrait être suffisamment proche pour recevoir la transmission via Bluetooth. De plus, un attaquant devrait associer son appareil Bluetooth à votre Google Glass, ce qui nécessiterait un accès physique. Bien que Rogers fasse remarquer que cela ne serait pas difficile parce que Glass, "n’a pas de lockscreen et vous pouvez confirmer en appuyant simplement dessus".
Plus inquiétant encore, un second code QR malicieux a été créé par Lookout, obligeant Glass à se connecter à un réseau Wi-Fi désigné dès sa numérisation. "Sans même s'en rendre compte, votre vitre est connectée à son point d'accès et il peut voir votre trafic", a déclaré Rogers. Il a poussé le scénario un peu plus loin, affirmant que l'attaquant pourrait "réagir avec une vulnérabilité Web, et à ce moment-là, Glass sera piraté".
Ce ne sont que des exemples, mais le problème sous-jacent est que Google n'a jamais pris en compte les scénarios dans lesquels les utilisateurs photographieraient involontairement un code QR. Un attaquant pourrait simplement publier un code QR malveillant dans un lieu touristique populaire, ou le déguiser en un tentant. Quel que soit le mode de livraison, le résultat serait invisible pour l'utilisateur.
Google à la rescousse
Une fois que Lookout a découvert la vulnérabilité, ils l'ont signalée à Google qui a mis au point un correctif dans les deux semaines. "C’est un bon signe que Google gère ces vulnérabilités et les traite comme un problème logiciel", a déclaré Rogers. "Ils peuvent publier les mises à jour en mode silencieux et corriger les vulnérabilités avant même que les utilisateurs ne soient au courant du problème."
Dans la nouvelle version du logiciel Glass, vous devez accéder à un menu de paramètres approprié pour qu'un code QR puisse prendre effet. Par exemple, pour utiliser un code QR pour vous connecter à un réseau Wi-Fi, vous devez d’abord être dans le menu des paramètres réseau. Glass va également maintenant informer l'utilisateur de ce que fait le code QR et demander la permission avant de l'exécuter.
Ce nouveau système suppose que vous sachiez ce que le code QR fera avant de le scanner, ce qui correspond apparemment à ce que Google avait prévu depuis le début. En plus de Glass, Google a créé une application complémentaire pour téléphones Android qui crée des codes QR afin de permettre aux utilisateurs de configurer rapidement leurs appareils Glass. Google n'a tout simplement pas prévu les codes QR comme moyen d'attaque.
A l'avenir
Lorsque j'ai parlé avec Rogers, il était très optimiste quant à l'avenir du verre et des produits similaires. Il a déclaré que la rapidité de la réponse de Google et la facilité avec laquelle la mise à jour avait été déployée étaient exemplaires. Cependant, je ne peux m'empêcher de regarder l'écosystème fracturé d'Android et de craindre que les futurs appareils et vulnérabilités ne soient pas gérés de manière aussi habile.
Rogers a comparé les problèmes liés à Glass à ceux rencontrés dans l'équipement médical, découverts il y a des années mais qui n'ont toujours pas été complètement résolus. "Nous ne pouvons pas gérer un matériel statique avec un firmware que nous ne mettons jamais à jour", a-t-il déclaré. "Nous devons être agiles."
Malgré son optimisme, Rogers a fait preuve de prudence. "De nouvelles choses signifient de nouvelles vulnérabilités", a-t-il déclaré. "Les méchants s'adaptent et essayent différentes choses."
