Google Glass "automatisch" per QR-Code gehackt Google Glass "automatisch" per QR-Code gehackt - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


17.07.2013 Rudolf Felser

Google Glass "automatisch" per QR-Code gehackt

Sicherheitsforscher von Lookout, einem Experten für mobile Sicherheit, haben eine Schwachstelle in Google Glass entdeckt: Sie haben herausgefunden, dass Google Glass QR-Codes in einem mit der Kamera aufgenommenen Bild automatisch ausführt. Entwarnung: Mittlerweile hat Google dieses Loch gestopft.

Google Glass hat vor dem Update fotografierte QR-Codes automatisch und ohne Nutzerbestätigung ausgeführt.

Google Glass hat vor dem Update fotografierte QR-Codes automatisch und ohne Nutzerbestätigung ausgeführt.

© Lookout

Durch dieses Feature wäre es zum Beispiel möglich, einen Kaffee zu bestellen, indem ein Nutzer das Menü fotografiert. Diese Funktion erhöht jedoch auch das Missbrauchspotential, wenn die Datenbrille den Nutzer nicht nach einer Erlaubnis für das Ausführen bestimmter Aktionen fragt und ihn auch nicht darüber informiert. "Uns ging es nicht darum zu zeigen, dass Glass fehlerhaft ist. Es ist ein limitiertes Beta-Produkt, bei dem Hacker und Geeks Fehler finden sollen, bevor es im großen Stil auf den Markt kommt", sagt Marc Rogers, Sicherheitsforscher bei Lookout und einer der Entdecker der Schwachstelle. "Aus der Perspektive eines Sicherheitsunternehmens ist es ideal zum Tüfteln. Unser Ziel war vielmehr zu demonstrieren, dass vernetzte Geräte dasselbe Maß an Sicherheit benötigen wie Software auf Smartphones oder PCs."

Mit der entdeckten Schwachstelle ließ sich die Datenbrille mit einem präparierten Bild oder einem QR-Code auf einem T-Shirt oder einem Poster hacken. So konnten die Sicherheitsforscher Glass heimlich mit einem anderen Bluetooth-Gerät oder WLAN ihrer Wahl verbinden. Damit ließ sich nicht nur das Display der Datenbrille ohne das Wissen ihres Trägers an andere Geräte streamen. Mit Hilfe einer bekannten Web-Schwachstelle von Android war sogar ein Rooten des Geräts und damit die komplette Steuerung der Datenbrille aus der Ferne möglich.

Die Sicherheitsforscher von Lookout haben Google gemäß dem Branchenkodex der "verantwortungsbewussten Offenlegung" am 16. Mai über die Schwachstelle informiert. Google hat die Sicherheitslücke laut einem Blogbeitrag von Lookout schnell behoben und mit dem automatischen Update XE6 am 4. Juni an alle Google Glass-Nutzer verteilt. Google ist dabei der Empfehlung von Lookout gefolgt, die Ausführung von QR-Codes erst dann zu starten, wenn der Nutzer dies aktiv auslöst. Durch viele Bedenken wegen der Privatsphäre scheint Google bei Glass besonders sensibel vorzugehen.

"Glass ist dennoch ein Beispiel für ein vernetztes Gerät, das Sicherheit von Anfang an berücksichtigt. Denn Google weiß, wie man ein solches 'Ding' schützt, weil es ein Software-Unternehmen ist und wie ein Software-Unternehmen denkt. Daher konnte es die Schwachstelle so schnell schließen", so Marc Rogers. "Entwickler müssen Wearables und vernetzte, mit einem Sensor ausgestattete Geräte mit genauso viel Voraussicht behandeln wie es Google mit Glass macht. Für die Geräte der nächsten Generation darf Sicherheit nicht länger nur eine Fußnote sein." (pi/rnf)

 

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • Huawei Technologies Austria GmbH

    Huawei Technologies Austria GmbH mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: