用 QR 码黑掉 Google Glass
Google Glass 仍未到达普通消费者手中,不过它已经获得足够的关注度,特别是其不断暴露的安全问题,更加引发人们的担忧。移动安全公司 Lookout 的首席研究员 Marc Rogers 曾警告过它的风险,并说,公司正与 Google 合作解决某个安全漏洞。
如今,Marc Rogers 终于透漏了安全漏洞究竟是什么。原来,Lookout 发现了一个很特别的漏洞,通过 QR 码可以黑掉 Glass。
我们知道,Glass 能够通过 Wifi 或蓝牙连接到网络。但由于缺乏传统的输入设备,Glass 采用了扫描 QR 码的方式。问题是,它会自动辨认拍摄的图片中是否包含 QR 码。这给黑客带来了机会。
Marc Rogers 接受卫报采访的时候说,他们能够做出一个 QR 码,让 Glass 连接到特定的网络,“我们能够看到它上传的图片和视频,我们甚至可以让 Glass 登录一个网站,那个网站能够利用 Android 4.0.4 的已知漏洞。”
Glass 的这个漏洞是很特别的。Marc Rogers 说,“该漏洞以及入侵的方式,都是 Glass 特有的,是它连接网络的后果。我觉得,没有人曾用图片黑掉一个设备。”
目前这个漏洞已经被堵上。当问到 Glass 是否会有其他漏洞出现的时候,Marc Rogers 说,“任何软件和硬件都有漏洞。让人高兴的是,Google 意识到只有少数人能够发现这些 bug,并且在向消费者发布之前,把 Glass 交给了他们探索。” 因此,在消费者用上 Glass 之前,大多数明显的安全漏洞都能够得到弥补。
在接受 Slashgear 网站采访时,Marc Rogers 透漏了更多信息。根据他的说法,一旦通过 QR 码黑掉 Glass,他能够看到 Glass 发送或接受的任何信息,包括短信、邮件、Hangout 呼叫,而通过上面提到的 4.0.4 中漏洞,他能够远程控制设备,甚至打开摄像头。
他对于 Google 的快速反应做出了赞赏。Marc Rogers 说,Lookout 告知 Google 的时间是 5 月 16 日,随后,Google 在 6 月 4 日进行了 XE6 固件更新,对该漏洞进行了弥补。从 XE6 固件开始,只有用户在设置中打开扫描的时候,摄像头才会去辨认 QR 码。“这种快速的反应,显示出 Google 对该设备隐私及安全问题重视的程度,在可连接设备如何做好安全工作上,这是设立了一个标杆。”
针对更多设备变得智能和自动化,Marc Rogers 表示了担忧,“当你有上亿台缺乏 UI 的互联设备,你如何管理升级?” 如果这些设备的开发者不学会快速升级,就会导致用户对未来设备的不信任感。这是“物联网”带来的新挑战,而且值得注意的是,制造此类设备的公司很少是同时精通硬件和软件的。
图片来自 Androidtopnews