بيت Securitywatch لا تنظر الان! زجاج جوجل pwned بواسطة رمز ريال قطري متواضع

لا تنظر الان! زجاج جوجل pwned بواسطة رمز ريال قطري متواضع

فيديو: عندما بكى الشيخ عبد الباسط عبد الصمد مقطع سيهز قلبك (شهر نوفمبر 2024)

فيديو: عندما بكى الشيخ عبد الباسط عبد الصمد مقطع سيهز قلبك (شهر نوفمبر 2024)
Anonim

في وقت سابق من هذا الأسبوع ، كتبنا عن كيفية استخدام بعض ميزات Google Glass كمتجهات هجومية. أيها القارئ اللطيف ، لقد أصبح بالفعل ناجحًا: أعلنت Lookout أنها اكتشفت ثغرة أمنية حرجة في Google Glass. الحمد لله ، لقد غوغل بالفعل تصحيح المشكلة.

أخبر مارك روجرز ، محلل الأمن الرئيسي في Lookout ، SecurityWatch أنه اكتشف ثغرة أمنية في كيفية قيام الكمبيوتر القابل للارتداء بمعالجة رموز QR. بسبب محدودية واجهة المستخدم في Glass ، أعدت Google كاميرا الجهاز لمعالجة أي رمز الاستجابة السريعة تلقائيًا في صورة فوتوغرافية.

وقال روجرز: "في ظاهر الأمر ، إنه تطور مثير حقًا". "لكن المشكلة هي اللحظة التي يرى فيها جلاس رمز قيادة يتعرف عليه ، وينفذه". من خلال هذه المعرفة ، كان Lookout قادرًا على إنتاج رموز QR الضارة التي أجبرت Glass على تنفيذ إجراءات دون علم المستخدم.

يلقي الزجاج والخبيثة واي فاي

أول رمز الاستجابة السريعة الخبيثة الذي تم إنشاؤه من شأنه أن يبدأ بـ "Glass-cast" دون علم المستخدم. بالنسبة إلى المشاركات غير المستهلكة ، والمرسومة بالزجاج ، فإن كل ما يظهر على شاشة Google Glass هو جهاز Bluetooth مقترن.

أشار روجرز إلى أن هذا كان ، في الواقع ، ميزة قوية. "إذا نظرت إلى واجهة المستخدم الزجاجية ، يمكن أن يرتديها شخص واحد فقط" ، أوضح. مع Glass-cast ، يمكن لمرتديها مشاركة وجهة نظرهم مع أشخاص آخرين. ومع ذلك ، فإن كود QR الخبيث في Lookout ، أدى إلى ظهور لعبة Glass-Glass بالكامل دون علم المستخدم.

في حين أن فكرة أن يكون شخص ما قادرًا على عرض شاشة متقنة للغاية على وجهك هي فكرة مربكة للغاية ، إلا أن للهجوم بعض القيود الواضحة. أولاً وقبل كل شيء ، يجب أن يكون المهاجم قريبًا بما يكفي لاستقبال الإرسال عبر Bluetooth. علاوة على ذلك ، سيتعين على المهاجم إقران جهاز Bluetooth الخاص به بجهاز Google Glass ، مما يتطلب الوصول الفعلي. على الرغم من أن روجرز يشير إلى أن ذلك لن يكون أمرًا صعبًا لأن Glass ، "ليس لديه شاشة قفل ويمكنك التأكيد فقط من خلال النقر عليه."

كان الأمر الأكثر إثارة للقلق هو إنشاء رمز الاستجابة السريعة الخبيث الثاني لرمز الاستجابة السريعة ، والذي أجبر Glass على الاتصال بشبكة Wi-Fi مخصصة بمجرد فحصها. وقال روجرز: "حتى دون أن تدرك ذلك ، فإن زجاجك متصل بنقطة وصوله ويمكنه رؤية حركة المرور الخاصة بك". لقد اتخذ السيناريو خطوة أخرى إلى أبعد من ذلك ، قائلاً إن المهاجم يمكنه "الاستجابة بضعف شبكة ، وعندها يتم اختراق Glass."

هذه مجرد أمثلة ، ولكن المشكلة الأساسية هي أن Google لم تستأثر أبدًا بالسيناريوهات التي يقوم المستخدمون بتصوير رمز QR فيها عن غير قصد. يمكن للمهاجم ببساطة نشر رمز QR ضار في مكان سياحي شهير ، أو ارتداء رمز الاستجابة السريعة كإغراء. مهما كانت طريقة التسليم ، ستكون النتيجة غير مرئية للمستخدم.

جوجل للانقاذ

بمجرد العثور على Lookout للثغرة الأمنية ، أبلغوا ذلك إلى Google الذي قام بإصلاح أحد الحلول خلال أسبوعين. وقال روجرز "إنها علامة جيدة على أن Google تدير هذه الثغرات وتعاملها كمشكلة برمجية". "يمكنهم إخماد التحديثات بصمت وإصلاح الثغرات الأمنية قبل أن يدرك المستخدمون المشكلة".

في الإصدار الجديد من برنامج Glass ، يجب عليك الانتقال إلى قائمة الإعدادات ذات الصلة قبل تفعيل رمز الاستجابة السريعة. على سبيل المثال ، لاستخدام رمز الاستجابة السريعة للاتصال بشبكة Wi-Fi ، يجب أن تكون أولاً في قائمة إعدادات الشبكة. سيقوم Glass أيضًا بإبلاغ المستخدم بما يفعله رمز الاستجابة السريعة ، وسيطلب إذنًا قبل تنفيذه.

يفترض هذا النظام الجديد أنك تعرف ما الذي سيفعله رمز الاستجابة السريعة قبل مسحه ضوئيًا ، وهو ما قصدته Google على ما يبدو من البداية. بالإضافة إلى Glass ، أنشأت Google تطبيقًا مصاحبًا لهواتف Android ينشئ رموز QR حتى يتمكن المستخدمون من تكوين أجهزة Glass الخاصة بهم بسرعة. جوجل ببساطة لم تتوقع رموز QR كوسيلة للهجوم.

فى المستقبل

عندما تحدثت مع روجرز ، كان متفائلًا جدًا بمستقبل Glass ومنتجات مثلها. وقال إن سرعة استجابة Google والسهولة التي تم بها نشر التحديث كانت مثالية. ومع ذلك ، لا يسعني إلا أن ننظر إلى نظام أندرويد البيئي المكسور وأقلق من احتمال عدم معالجة الأجهزة ونقاط الضعف في المستقبل بمهارة فائقة.

قارن روجرز القضايا مع جلاس بتلك الموجودة في المعدات الطبية ، والتي تم اكتشافها قبل سنوات ولكن لم يتم معالجتها بالكامل. وقال "لا يمكننا إدارة مثل الأجهزة الثابتة مع البرامج الثابتة التي لا نقوم بتحديثها أبدًا". "نحن بحاجة إلى أن تكون رشيقة."

على الرغم من تفاؤله ، كان لدى روجرز بعض كلمات الحذر. وقال "الأشياء الجديدة تعني نقاط ضعف جديدة". "الأشرار يتكيفون ويجربون أشياء مختلفة."

لا تنظر الان! زجاج جوجل pwned بواسطة رمز ريال قطري متواضع