Google Glass: Per QR-Code manipulierbar

Google Glass ist bekanntlich das ambitionierte Brillen-Projekt von Google, welches sich derzeit in einer limitierten Betaphase befindet. Diese Geräte laden natürlich Menschen ein, auszuprobieren, was so geht und was nicht geht. Und hierbei ist Sicherheitsforschern eine Sicherheitslücke ins Netz gegangen, die mittlerweile aber schon geschlossen wurde.

Die Forscher von Lookout haben herausgefunden, dass Google Glass versteckte Befehle in einem mit der Kamera aufgenommenen Bild automatisch ausführt. Dadurch wäre es zum Beispiel möglich, einen Kaffee zu bestellen, indem ein Nutzer das Menü fotografiert. Diese Funktion erhöht jedoch auch das Missbrauchspotential, wenn die Datenbrille den Nutzer nicht nach einer Erlaubnis für das Ausführen bestimmter Aktionen fragt und ihn auch nicht darüber informiert.

[werbung]

„Uns ging es nicht darum zu zeigen, dass Glass fehlerhaft ist. Es ist ein limitiertes Beta-Produkt, bei dem Hacker und Geeks Fehler finden sollen, bevor es im großen Stil auf den Markt kommt“, sagt Marc Rogers, Sicherheitsforscher bei Lookout und einer der Entdecker der Schwachstelle. „Aus der Perspektive eines Sicherheitsunternehmens ist es ideal zum Tüfteln. Unser Ziel war vielmehr zu demonstrieren, dass vernetzte Geräte dasselbe Maß an Sicherheit benötigen wie Software auf Smartphones oder PCs.“

Mit der entdeckten Schwachstelle ließ sich die Datenbrille mit einem präparierten Bild oder einem QR-Code auf einem T-Shirt oder einem Poster hacken. So konnten die Sicherheitsforscher Glass heimlich mit einem anderen Bluetooth-Gerät oder WLAN ihrer Wahl verbinden. Damit ließ sich nicht nur das Display der Datenbrille ohne das Wissen ihres Trägers an andere Geräte streamen. Mit Hilfe einer bekannten Web-Schwachstelle von Android war sogar ein Rooten des Geräts und damit die komplette Steuerung der Datenbrille aus der Ferne möglich.

Die Sicherheitsforscher von Lookout haben Google gemäß dem Branchenkodex der „verantwortungsbewussten Offenlegung” am 16. Mai über die Schwachstelle informiert. Google hat die Sicherheitslücke schnell behoben und mit dem automatischen Update XE6 am 4. Juni an alle Google Glass-Nutzer verteilt. Google ist dabei der Empfehlung gefolgt, die Ausführung von QR-Codes erst dann zu starten, wenn der Nutzer dies aktiv auslöst.

Freuen wir uns also auf Sicherheitslösungen diverser Anbieter, wenn Kühlschrank, Auto und Co bald vernetzt sind. Antivirus für das Auto quasi. Ich wette, dass es so kommt 😉