Biztonsági rések az okosszemüvegen

A Google Glass szemüveg esetében két biztonsági hibára derült fény. Az egyiket a fejlesztők már orvosolták.
 

A biztonsági kutatók számtalanszor bizonyították azt, hogy korántsem csak a szoftverekben képesek veszélyes sérülékenységekre akadni. Előszeretettel vesznek górcső alá okostelefonokat, táblagépeket, hálózati eszközöket és egyéb informatikai megoldásokat is. A Lookout Mobile Security és a Symantec szakembereinek kezébe vagy inkább fejére ezúttal a Google Glass került, amelyben rövid idő alatt ki is szúrtak két sebezhetőséget. Mielőtt azonban szemügyre vennénk a biztonsági réseket, fontos hangsúlyozni, hogy a Glass még csak a kezdeti szárnypróbálgatásait végzi, így a biztonsági szakma is most kezdi mérlegelni, hogy az ilyen különleges (okos)szemüvegeknek milyen hatásuk lesz a védelemi feladatokra, és milyen kockázatokkal kell majd számolni.

QR-kódokra érzékeny szemüveg

A Lookout kutatói a Glass kapcsán egy olyan sérülékenységre akadtak, amely a QR-kódok kezelését érintette. A vizsgálataik során bebizonyosodott, hogy a szemüveg segítségével leolvasott QR-kódok esetenként biztonsági problémákat idézhettek elő. Ennek az volt az oka, hogy a Glass a QR-kódokba "rejtett" utasításokat a felhasználó jóváhagyása nélkül végrehajtotta. Így például össze lehetett állítani olyan kódot, amelynek hatására a szemüveg szó nélkül kapcsolódott WiFi hálózatokhoz. Ezt követően a kutatók átirányítást végeztek egy olyan ártalmas weboldalra, amely egy Android 4.04-ben lévő biztonsági hiba kihasználására alkalmas exploitot tartalmazott. Ezzel pedig teljes mértékben át tudták venni az irányítást a szemüveg felett (még ha ez elég furcsán is hangzik). A Google már májusban értesült a sérülékenységről, amelyet azóta több kontroll beépítésével megszüntetett. Így most már felhasználói jóváhagyás nélkül nem lehet QR-kódokkal parancsolgatni a szemüvegnek.


Forrás: Symantec

Önállósodó vezeték nélküli szemüveg

A Symantec a múlt héten jelezte, hogy egy sebezhetőséget fedezett fel a Google Glass kapcsán. Ez a sérülékenységi típus azonban korántsem ismeretlen, és nem csak az okosszemüveget érinti. Ahogy sok más, vezeték nélküli hálózatokkal kompatibilis eszköz, úgy a Glass is megpróbálja minél kényelmesebbé tenni a WiFi csatlakozást. Ennek érdekében a szemüveg végig szkenneli azokat az elérhető hálózatokat, amelyekhez korábban már kapcsolódott. Amennyiben talál ilyet, akkor ahhoz automatikusan csatlakozik anélkül, hogy bármiféle manuális beavatkozásra szükség lenne a felhasználó részéről. Ez a kényelmi szolgáltatás azonban veszélyeket rejt, ugyanis különféle eszközök bevonásával a támadók elérhetik, hogy a szemüveg hamis (manipulált SSID-val) rendelkező hálózathoz kapcsolódjon. Amennyiben ez megtörténik, akkor szabaddá válik az út a közbeékelődéses támadások valamint az adatlopások, adatmanipulációk előtt.


Candid Wueest, a Symantec biztonsági kutatója szerint a feltárt sérülékenység ellen nem éppen könnyű védekezni, és azt egy szimpla frissítéssel nem is lehet orvosolni. A kockázatokat némileg csökkenthetné, ha a szemüveg ellenőrizné a WiFi-routerek MAC-címét az azokhoz való csatlakozás előtt, de mint tudjuk a MAC-címek hamisítása sem nagy ördöngösség. Ezért a szakember inkább a VPN-alapú kapcsolatok használatát valamint a titkosított (SSL) adatforgalom előnyben részesítését javasolta.
 
  1. 3

    A Cisco IOS XE-hez több patch vált elérhetővé.

  2. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  3. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  4. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  5. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  6. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  7. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  8. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  9. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  10. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség