Video: LA REALIDAD AUMENTADA de GOOGLE GLASS - Informe completo (español) (Noviembre 2024)
A principios de esta semana, escribimos sobre cómo algunas características de Google Glass podrían usarse como vectores de ataque. Bueno, amable lector, ya ha sucedido: Lookout ha anunciado que han descubierto una vulnerabilidad crítica en Google Glass. Afortunadamente, Google ya ha solucionado el problema.
El principal analista de seguridad de Lookout, Marc Rogers, dijo a SecurityWatch que descubrió una vulnerabilidad en la forma en que la computadora portátil procesaba los códigos QR. Debido a la interfaz de usuario limitada de Glass, Google configuró la cámara del dispositivo para procesar automáticamente cualquier código QR en una fotografía.
"A primera vista, es un desarrollo realmente emocionante", dijo Rogers. "Pero el problema es el momento en que Glass ve un código de comando que reconoce, lo ejecuta". Con este conocimiento, Lookout pudo producir códigos QR maliciosos que obligaron a Glass a realizar acciones sin el conocimiento del usuario.
Wifi de cristal y malicioso
El primer código QR malicioso creado por Lookout iniciaría un "Glass-cast" sin el conocimiento del usuario. Para los no iniciados, Glass-casting comparte lo que aparezca en la pantalla de Google Glass en un dispositivo Bluetooth emparejado.
Rogers señaló que esta era, en realidad, una característica poderosa. "Si miras la interfaz de usuario de vidrio, solo puede ser usada por una sola persona", explicó. Con Glass-cast, el usuario puede compartir su punto de vista con otras personas. El código QR malicioso de Lookout, sin embargo, desencadenó un Glass-cast completamente sin el conocimiento del usuario.
Si bien la idea de que alguien pueda ver una pantalla tan íntimamente colocada en su cara es extremadamente desconcertante, el ataque tiene algunas limitaciones obvias. En primer lugar, un atacante tendría que estar lo suficientemente cerca como para recibir la transmisión a través de Bluetooth. Además, un atacante tendría que emparejar su dispositivo Bluetooth con su Google Glass, lo que requeriría acceso físico. Aunque Rogers señala que hacerlo no sería difícil porque Glass "no tiene pantalla de bloqueo y puede confirmar con solo tocarla".
Más preocupante fue un segundo código QR malicioso creado por Lookout, que obligó a Glass a conectarse a una red Wi-Fi designada tan pronto como se escaneó. "Sin siquiera darse cuenta, su Glass está conectado a su punto de acceso y él puede ver su tráfico", dijo Rogers. Llevó el escenario un paso más allá, diciendo que el atacante podría "responder con una vulnerabilidad web, y en ese momento Glass es pirateado".
Estos son solo ejemplos, pero el problema subyacente es que Google nunca tuvo en cuenta los escenarios en los que los usuarios fotografiarían involuntariamente un código QR. Un atacante podría simplemente publicar un código QR malicioso en un lugar turístico popular, o disfrazarlo como tentador. Cualquiera sea el método de entrega, el resultado sería invisible para el usuario.
Google al rescate
Una vez que Lookout encontró la vulnerabilidad, la reportaron a Google, quien eliminó una solución en dos semanas. "Es una buena señal de que Google gestiona estas vulnerabilidades y las trata como un problema de software", dijo Rogers. "Pueden publicar las actualizaciones en silencio y corregir las vulnerabilidades antes de que los usuarios sean conscientes del problema".
En la nueva versión del software Glass, debe navegar a un menú de configuración relevante antes de que un código QR surta efecto. Por ejemplo, para usar un código QR para conectarse a una red Wi-Fi, primero debe estar en el menú de configuración de red. Glass también informará al usuario sobre lo que hace el código QR y le pedirá permiso antes de ejecutarlo.
Este nuevo sistema supone que sabes lo que hará el código QR antes de escanearlo, que aparentemente es lo que Google pretendía desde el principio. Además de Glass, Google creó una aplicación complementaria para teléfonos Android que crea códigos QR para que los usuarios puedan configurar rápidamente sus dispositivos Glass. Google simplemente no previó los códigos QR como una vía de ataque.
En el futuro
Cuando hablé con Rogers, él era muy optimista sobre el futuro de Glass y productos similares. Dijo que la velocidad de respuesta de Google y la facilidad con la que se implementó la actualización fue ejemplar. Sin embargo, no puedo evitar mirar el fracturado ecosistema de Android y preocuparme de que los dispositivos y vulnerabilidades futuros no se manejen tan hábilmente.
Rogers comparó los problemas con Glass con los encontrados en equipos médicos, que se descubrieron hace años pero que aún no se han abordado por completo. "No podemos gestionar como hardware estático con firmware que nunca actualizamos", dijo. "Necesitamos ser ágiles".
A pesar de su optimismo, Rogers tuvo algunas palabras de precaución. "Cosas nuevas significan nuevas vulnerabilidades", dijo. "Los malos se adaptan y prueban cosas diferentes".
