Sicherheitslücke: Google Glass Explorer Edition per QR-Code gehackt

Veröffentlicht am 17. Juli 2013 von Jens

Dem auf Sicherheitslücken im Android-Betriebssystem spezialisierten Unternehmen Lookout ist es gelungen, die Explorer Edition von Google Glass zu hacken und die volle Kontrolle über die Cyberbrille zu übernehmen. Dazu müssen zwar einige Eventualitäten zusammenkommen, aber Google hat die Lücke noch vor Bekanntwerden geschlossen. Zum Einsatz kam dabei ein einfacher QR-Code.

Im Auslieferungszustand hat die Brille ständig nach QR-Codes gesucht und diese automatisiert entschlüsselt. Auf bestimmte Befehle hat die Brille dabei ohne weitere Nachfrage reagiert und diese ausgeführt – nämlich das verbinden zu einem bestimmten WLAN-Netz. Dieses Netz wiederum kann von den Hackern dazu verwendet werden, manipulierte Webseiten aufzurufen und durch eine Sicherheitslücke im Android-Browser die Kontrolle über das Gerät zu gewinnen.

Diese Funktion ist von Google durchaus beabsichtigt und wird unter anderem für die erste Aktivierung der Brille verwendet – allerdings funktionierte dies auch nachher noch. Hat sich die Brille dann in das manipulierte WLAN-Netz eingeloggt, werden die ausgelieferten Webseiten mit einem Schadcode ausgestattet, der die volle Kontrolle über die Brille übernehmen kann. Und das alles ohne dass der Nutzer dies bemerken würde.

Lookout hat den Fehler bereits am 16. Mai an Google gemeldet, und nach 3 Wochen wurde die Lücke mit dem Firmware-Update gestopft. Die Brille reagiert nun nur noch an bestimmten Stellen, wie der erstmaligen Aktivierung, auf QR-Codes – führt diese Steuerbefehle aber immer noch automatisch aus. In diesem Fall kann aber kaum ein manipulierter QR-Code zum Einsatz kommen.

Auch wenn Google die Lücke gestopft hat, zeigt sie doch die Probleme einer solchen Brille und den darin integrierten Technologien auf. Man stelle sich nur einen QR-Code an einer prominenten Stelle in der Öffentlichkeit vor, auf den alle Brillen – die nur kurz darauf blicken müssen – reagieren und dadurch bestimmte Funktionen ausführen. Sicherlich nicht der letzte Bug dieser Art…

[heise online]

Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter