Panikmache? Lookout hat eine Schwachstelle in Google Glass entdeckt

von

Lookout meldet sich immer dann, wenn sie eine Schwachstelle gefunden haben. Diesmal ist die begehrte Google Glass das Opfer der Sicherheitsexperten geworden. Mittels eines QR-Codes kann die komplette Gerätschaft übernommen und überwacht werden.

Panikmache? Lookout hat eine Schwachstelle in Google Glass entdeckt

Die Google Glass ist in Fachkreisen weiterhin ein sehr begehrtes Gadget. Kein Wunder, denn selbst die Google Pressestellen werden nur Stückweise beliefert. Stefan Keuchel macht zurzeit Hamburg damit unsicher, wir haben uns natürlich auch gleich angeboten eine Datenbrille in Berlin auszuführen.

Google Glass Berlin

Dennoch ist die Brille immer wieder ein Grund für Diskussionen, auch bei uns gibt es eine eher gespaltene Meinung zu der Brille mit Kamera und optionaler Verbindung ins Internet. Lookout hat nun eine Schwachstelle in der Software der Brille gefunden und stellt diese in einer offiziellen Pressemitteilung vor.

Eine eher fragwürdige Handhabung, da die bisher verfügbaren Google Glass alle mitsamt Entwicklergeräte sind, die keine finale und vor allem einem offene Umgebung für Programmierer bieten soll. Wie stark man sich nun damit brüsten kann, dort eine “Schwachstelle” gefunden zu haben, soll jeder für sich selbst beurteilen. Ich kategorisiere es mal in den Bereich gezielte “Panikmache” aus Sicht der Antivirus-Unternehmen, bestimmt wird es ganz schnell eine Sicherheits-App für die Glass geben. Auch wenn Lookout keine schlechte Android Softwarebietet, halte ich solche Methoden immer für etwas grenzwertig.

Hier die offizielle Pressemitteilung:

Lookout findet Schwachstelle in Google Glass: Hacking per QR-Code
Verändertes Risikoprofil vernetzter Geräte erfordert neue Blickwinkel
 
München, 17. Juli 2013 – Immer mehr Menschen und Geräte sind miteinander vernetzt – nach Fernsehern, Autos und Thermostaten sind mit Google Glass inzwischen auch Brillen mit dem Internet verbunden. Durch die Vernetzung ändern diese Geräte jedoch ihre Bedeutung:
Mit ihren integrierten Sensoren nehmen sie Informationen auf und übertragen sie an andere Geräte. Das erweitert ihre Möglichkeiten, vergrößert aber auch ihre Angriffsfläche und macht so Sicherheit und Datenschutz noch wichtiger.
 
Sicherheitsforscher von Lookout, einem Experten für mobile Sicherheit, haben nun eine Schwachstelle in Google Glass entdeckt: Sie haben herausgefunden, dass Google Glass versteckte Befehle in einem mit der Kamera aufgenommenen Bild automatisch ausführt. Dadurch wäre es zum Beispiel möglich, einen Kaffee zu bestellen, indem ein Nutzer das Menü fotografiert. Diese Funktion erhöht jedoch auch das Missbrauchspotential, wenn die Datenbrille den Nutzer nicht nach einer Erlaubnis für das Ausführen bestimmter Aktionen fragt und ihn auch nicht darüber informiert.
 
„Uns ging es nicht darum zu zeigen, dass Glass fehlerhaft ist. Es ist ein limitiertes Beta-Produkt, bei dem Hacker und Geeks Fehler finden sollen, bevor es im großen Stil auf den Markt kommt“, sagt Marc Rogers, Sicherheitsforscher bei Lookout und einer der Entdecker der Schwachstelle. „Aus der Perspektive eines Sicherheitsunternehmens ist es ideal zum Tüfteln. Unser Ziel war vielmehr zu demonstrieren, dass vernetzte Geräte dasselbe Maß an Sicherheit benötigen wie Software auf Smartphones oder PCs.“
 
Komplette Kontrollübernahme möglich
 
Mit der entdeckten Schwachstelle ließ sich die Datenbrille mit einem präparierten Bild oder einem QR-Code auf einem T-Shirt oder einem Poster hacken. So konnten die Sicherheitsforscher Glass heimlich mit einem anderen Bluetooth-Gerät oder WLAN ihrer Wahl verbinden. Damit ließ sich nicht nur das Display der Datenbrille ohne das Wissen ihres Trägers an andere Geräte streamen. Mit Hilfe einer bekannten Web-Schwachstelle von Android war sogar ein Rooten des Geräts und damit die komplette Steuerung der Datenbrille aus der Ferne möglich.
 
Die Sicherheitsforscher von Lookout haben Google gemäß dem Branchenkodex der „verantwortungsbewussten Offenlegung“ am 16. Mai über die Schwachstelle informiert. Google hat die Sicherheitslücke schnell behoben und mit dem automatischen Update XE6 am 4. Juni an alle Google Glass-Nutzer verteilt. Google ist dabei der Empfehlung von Lookout gefolgt, die Ausführung von QR-Codes erst dann zu starten, wenn der Nutzer dies aktiv auslöst.
 
„Glass ist dennoch ein Beispiel für ein vernetztes Gerät, das Sicherheit von Anfang an berücksichtigt. Denn Google weiß, wie man ein solches ‚Ding‘ schützt, weil es ein Software-Unternehmen ist und wie ein Software-Unternehmen denkt. Daher konnte es die Schwachstelle so schnell schließen“, so Marc Rogers. „Entwickler müssen Wearables und vernetzte, mit einem Sensor ausgestattete Geräte mit genauso viel Voraussicht behandeln wie es Google mit Glass macht. Für die Geräte der nächsten Generation darf Sicherheit nicht länger nur eine Fußnote sein.“

Richtigstellung 18.07.2013 – Keine Panikmache

Leider habe ich das Video nicht bis zum Schluss gesehen. Am Ende ist ein (von mir fälschlicherweise als Disclaimer gesehener) Text, der darauf hinweist, dass Lookout die Lücke vorab an Google gemeldet hat. Die Entwickler haben dann Eifrig mit dem XE6 Update den Fehler behoben. Erst nach dem Fix wurde dieses Video erstellt um uns und auch andere zu sensibilisieren.

So sieht das natürlich ein wenig positiver aus.

Google Glass

Weitere Themen: Google


Kommentare zu diesem Artikel

Neue Artikel von GIGA ANDROID

Anzeige
GIGA Marktplatz