Video: Codici QR: tutto su cosa sono e come crearli (Settembre 2024)
All'inizio di questa settimana, abbiamo scritto su come alcune funzioni di Google Glass potrebbero essere utilizzate come vettori di attacco. Bene gentile lettore, è già accaduto: Lookout ha annunciato di aver scoperto una vulnerabilità critica in Google Glass. Per fortuna, Google ha già risolto il problema.
Il principale analista di sicurezza di Lookout, Marc Rogers, ha dichiarato a SecurityWatch che ha scoperto una vulnerabilità nel modo in cui il computer indossabile ha elaborato i codici QR. A causa della limitata interfaccia utente di Glass, Google ha impostato la fotocamera del dispositivo per elaborare automaticamente qualsiasi codice QR in una fotografia.
"A prima vista, è uno sviluppo davvero entusiasmante", ha detto Rogers. "Ma il problema è nel momento in cui Glass vede un codice di comando che riconosce, lo esegue." Con questa conoscenza, Lookout è stato in grado di produrre codici QR dannosi che hanno costretto Glass a compiere azioni all'insaputa dell'utente.
Wi-Fi dannoso per il vetro
Il primo codice QR dannoso creato Lookout avrebbe avviato un "Glass-cast" all'insaputa dell'utente. Per i non iniziati, Glass-casting condivide tutto ciò che appare sullo schermo di Google Glass su un dispositivo Bluetooth accoppiato.
Rogers ha sottolineato che questa era, in realtà, una caratteristica potente. "Se guardi l'interfaccia utente di vetro, può essere indossata da una sola persona", ha spiegato. Con Glass-cast, chi lo indossa può condividere la propria opinione con altre persone. Il codice QR dannoso di Lookout, tuttavia, ha attivato interamente un cast di Glass all'insaputa dell'utente.
Mentre l'idea che qualcuno sia in grado di visualizzare uno schermo così intimamente posizionato sul tuo viso è estremamente sconcertante, l'attacco presenta alcune ovvie limitazioni. Innanzitutto, un utente malintenzionato dovrebbe essere abbastanza vicino da ricevere la trasmissione tramite Bluetooth. Inoltre, un utente malintenzionato dovrebbe associare il proprio dispositivo Bluetooth a Google Glass, il che richiederebbe l'accesso fisico. Anche se Rogers sottolinea che farlo non sarebbe difficile perché Glass, "non ha schermata di blocco e puoi confermare semplicemente toccandolo".
Ancora più preoccupante è stato un secondo codice QR dannoso creato Lookout, che ha costretto Glass a connettersi a una rete Wi-Fi designata non appena è stata scansionata. "Senza nemmeno accorgersene, il tuo Glass è collegato al suo punto di accesso e può vedere il tuo traffico", ha detto Rogers. Ha fatto un ulteriore passo avanti nello scenario, dicendo che l'attaccante potrebbe "rispondere con una vulnerabilità del web, ea quel punto Glass viene violato".
Questi sono solo esempi, ma il problema di fondo è che Google non ha mai tenuto conto degli scenari in cui gli utenti fotografavano involontariamente un codice QR. Un utente malintenzionato può semplicemente pubblicare un codice QR dannoso in una località turistica popolare o vestire il codice QR come allettante. Qualunque sia il metodo di consegna, il risultato sarebbe invisibile all'utente.
Google to the Rescue
Una volta trovata la vulnerabilità, Lookout l'ha segnalata a Google che ha inviato una soluzione entro due settimane. "È un buon segno che Google sta gestendo queste vulnerabilità e trattandole come un problema software", ha affermato Rogers. "Possono pubblicare gli aggiornamenti in modo silenzioso e correggere le vulnerabilità prima ancora che gli utenti siano consapevoli del problema."
Nella nuova versione del software Glass, è necessario passare a un menu delle impostazioni pertinenti prima che un codice QR abbia effetto. Ad esempio, per utilizzare un codice QR per connettersi a una rete Wi-Fi, è innanzitutto necessario essere nel menu delle impostazioni di rete. Glass ora informerà anche l'utente su cosa fa il codice QR e chiederà l'autorizzazione prima di eseguirlo.
Questo nuovo sistema presuppone che tu sappia cosa farà il codice QR prima di scansionarlo, che apparentemente è ciò che Google intendeva dall'inizio. Oltre a Glass, Google ha creato un'app complementare per telefoni Android che crea codici QR in modo che gli utenti possano configurare rapidamente i propri dispositivi Glass. Google semplicemente non prevedeva che i codici QR fossero una via di attacco.
Nel futuro
Quando ho parlato con Rogers, era molto ottimista sul futuro di Glass e su prodotti simili. Ha affermato che la velocità della risposta di Google e la facilità con cui è stato distribuito l'aggiornamento è stata esemplare. Tuttavia, non posso fare a meno di guardare all'ecosistema Android fratturato e preoccuparmi che i futuri dispositivi e vulnerabilità potrebbero non essere gestiti in modo così abile.
Rogers ha confrontato i problemi con Glass con quelli riscontrati nelle apparecchiature mediche, che sono stati scoperti anni fa ma non sono ancora stati completamente affrontati. "Non possiamo gestire come hardware statico con firmware che non aggiorniamo mai", ha detto. "Dobbiamo essere agili."
Nonostante il suo ottimismo, Rogers aveva alcune parole di cautela. "Le nuove cose significano nuove vulnerabilità", ha detto. "I cattivi si adattano e provano cose diverse."
