從二維碼黑掉Google Glass看可穿戴設(shè)備的安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　小伙子，當(dāng)心你的Google Glass——邪惡的圖片除了能毀你的三觀之外還能毀設(shè)備。
 

　　美國(guó)的一家安全公司Lookout Mobile近日表示他們發(fā)現(xiàn)Google Glass只要拍下了一張流氓二維碼照片，后者就能讓前者宕機(jī)。要說明的是：這里說的是“拍下”，而不是“掃瞄”——也就是說即使二維碼只是出現(xiàn)在某張照片的背景里，也是照黑不誤。目前他們已經(jīng)將這個(gè)bug報(bào)告給谷歌，并且已經(jīng)幫著谷歌修好了。
 

　　Lookout的研究人員Marc Rogers表示：“Google Glass此前的設(shè)置是會(huì)對(duì)它拍下的所有照片進(jìn)行掃描(小編注：猜測(cè)可能是Auto-awesome這樣的表情識(shí)別功能。)但這樣的照片解析功能實(shí)際上有很大的隱患。我們發(fā)現(xiàn)惡意的二維碼能秘密地更改設(shè)備的設(shè)置。”
 

　　Rogers還提到了一個(gè)非常慎的場(chǎng)景：比如一個(gè)猥瑣男可以穿上一件印了惡意二維碼的T恤，然后假裝“不經(jīng)意”地出現(xiàn)在你的拍攝背影里。跟著Glass就會(huì)自動(dòng)掃描你所有的照片，順帶也解析這個(gè)二維碼。再然后你就會(huì)發(fā)現(xiàn)你的17.2G全讓人扒了傳網(wǎng)上了——當(dāng)然好消息是Google Glass存不了17.2G這么多。
 

　　另外，Rogers甚至還用不干膠打印了一些二維碼的樣本，這些可以直接貼到非常常見的廣告上偽裝成正常的二維碼。
 

　　Lookout在5月中旬就將這一漏洞報(bào)告給了谷歌，之后漏洞在6月初的自動(dòng)更新上已經(jīng)修復(fù)。現(xiàn)在Glass只在一些特定模式下解析二維碼。Google Glass的一位發(fā)言人對(duì)福布斯表示，在Glass上他們非常重視安全問題;并且提到Glass探索者項(xiàng)目(Explorer Program)的一大目標(biāo)就是在推向大眾以前發(fā)現(xiàn)和解決Glass上的漏洞。
 

　　其實(shí)由二維碼發(fā)動(dòng)安全攻擊我們并不是第一次聽說了。早在2007年就有人提出印在報(bào)紙上的惡意二維碼如何能感染用戶設(shè)備;去年9月也有研究者發(fā)現(xiàn)通過二維碼指向的一個(gè)鏈接能輕松擦除掉Galaxy S III上的用戶數(shù)據(jù)，把手機(jī)分分鐘打成出廠設(shè)置。但是相比手機(jī)，可穿戴設(shè)備更加脆弱。
 

　　當(dāng)下二維碼的漏洞確實(shí)已經(jīng)修復(fù)，但隨著可穿戴設(shè)備的普及像Glass這樣的設(shè)備仍有很大可能成為犯罪分子攻擊的目標(biāo)。
 

　　在4月份，Android開發(fā)者Jay Freeman將Google Glass越獄使其能安裝任何的未認(rèn)證軟件。同時(shí)他也警告過大家，因?yàn)镚lass幾乎可以完全伴隨用戶的生活，那么一旦被黑將會(huì)很有可能出現(xiàn)重大的隱私泄露(順帶揭秘一大撥貪官么?)。
 

　　Freeman在公告中寫道，“Glass一旦被劫持，它所能監(jiān)視的不僅僅是你的生活——實(shí)際上是你在看什么它就能換看到什么，你在聽什么它就能聽到什么。它唯一做不到的就是不知道你在想什么。”
 

　　所以最后希望Glass在推向大眾以前能發(fā)現(xiàn)和修復(fù)更多這樣的問題，這也是同類可穿戴設(shè)備必過的一道坎。