| Experten 17. Juli 2013


17. Juli 2013

Sicherheit für die vernetzte Welt: Ein Google Glass-Fallbeispiel

By Lookout

Nach Fernsehern, Autos, Uhren und Thermostaten sind mit Google Glass inzwischen auch Brillen mit dem Internet verbunden. Schon bald könnte es einfacher sein, aufzulisten, welche Geräte noch nicht vernetzt sind, statt die bereits verbundenen zu benennen. Nicht umsonst spricht man mittlerweile von einem „Internet der Dinge“.
Die in diesen „Dingen“ eingebetteten Sensoren verändern deren Risikoprofile und können unerwartete Schwachstellen mit sich bringen. Vernetzte Geräte, die Daten erfassen und untereinander austauschen, eröffnen ein extrem breites Spektrum an Möglichkeiten und Vorteilen. Aber auch die Angriffsfläche und die damit einhergehenden Sicherheitsrisiken vergrößern sich.
So ist die Datenbrille Google Glass im Grunde genommen ein Computer, den Sie auf dem Kopf tragen. Im Mai hat Lookout festgestellt, dass Google Glass Befehle ausführt, die in einem Bild ‒ wie einem QR-Code ‒ enthalten sind, ohne den Nutzer davon in Kenntnis zu setzen. Das bietet natürlich tolle Möglichkeiten ‒ man könnte z.B. seinen Kaffee bestellen und bezahlen, indem man ein Bild von der Menükarte macht ‒, birgt aber auch Risiken und kann missbraucht werden.

Als wir mit Google Glass Bilder aufgenommen haben, die QR-Codes enthielten, hat das Gerät automatisch die Befehle in den QR-Codes ausgeführt. Das führte wiederum dazu, dass Google Glass sich im Verborgenen mit Bluetooth-Geräten oder WLAN-Netzwerken unserer Wahl verband. Dadurch waren wir in der Lage, über eine bekannte Android-Web-Schwachstelle die vollständige Kontrolle zu übernehmen und Glass zu überwachen und zu hacken. Ohne Vorhandensein wichtiger Sicherheitsfunktionen könnte ein Glass-Träger sich unwissentlich ein bösartiges Programm einfangen und zwar einfach dadurch, dass er ein Bild aufgenommen hat.
Wir sind mit Google in Kontakt getreten und haben das Unternehmen am 16. Mai 2013 über die Schwachstelle informiert. Google hat sehr schnell reagiert und dafür gesorgt, dass die Schwachstelle mit dem automatischen Update XE6, das am 4. Juni veröffentlicht wurde, behoben werden konnte. Google ist unserer Empfehlung gefolgt, die Ausführung von QR-Codes auf Fälle zu beschränken, in denen der Nutzer die Ausführung anfordert. Googles Reaktion und Umsetzung deuten auf ein hohes Bewusstsein hin, mit der das Unternehmen die Themen Datenschutz und Sicherheit für dieses Gerät angeht.
Das Unternehmen hat einen erstklassigen Schwachstellen-Management-Prozess gezeigt, der Schwachstellen schnell und wirksam identifiziert und behebt und auch die Geräte aktualisiert. Google ist ein Software-Unternehmen mit einigen der besten und verständlichsten Patch-Praktiken, die man in der Branche findet. In einer Welt, in der Computer uns den größten Teil unseres Alltags begleiten und viele Unternehmen Sensoren in ihre Geräte einbauen, können sich diese Unternehmen einen Mangel an Vorstellungsvermögen und ein Versagen ihres Schwachstellen-Managements nicht leisten. Wenn Google nicht entsprechend reagiert hätte, hätte ein Angreifer ein tolles Feature gegen den Glass-Träger einsetzen können, was dem ansonsten viel versprechenden neuen Gerät geschadet hätte.
Wir sind der Meinung, dass sich viele Entwickler eine Scheibe von Googles Schwachstellen-Management abschneiden und bei der Entwicklung vernetzter Geräte eine solche Herangehensweise anstreben sollten. Es ist eine Herangehensweise, die vielen Unternehmen in der Android-Smartphone-Branche gut tun würde. In unserer vernetzten Welt ist es dringend erforderlich, dass Sicherheit und Updates von Anfang an in diese neuen Geräte eingebunden werden.
Technische Details
Das Glass-Betriebssystem analysiert QR-Codes in jedem Bild, das vom Glass-Anwender gemacht wird. Wenn der QR-Code Anweisungen enthält, die Glass versteht, führt es diese Anweisungen umgehend aus, ohne dem Nutzer die Möglichkeit zu geben, der Ausführung des eingebetteten Befehls zuzustimmen oder sie abzulehnen. In vielen Fällen merkt der Glass-Anwender nicht einmal, dass Glass eine Anweisung in einem QR-Code gefunden und ausgeführt hat.
Es ist möglich, QR-Codes mit einer Reihe von bösartigen Auswirkungen zu entwickeln. Die einfachste und offensichtlichste Methode ist, einen QR-Code mit der "glasscast:"-Anweisung zu verwenden. Diese Anweisung führt dazu, dass Glass seinen Bildschirm über Bluetooth mit einem Gerät teilt, auf der die MyGlass-App läuft. Wenn Glass nicht bereits mit diesem Gerät über Bluetooth verbunden ist, stellt es im Verborgenen eine Anfrage, um sich zu verbinden. Dies kann jedes beliebige Bluetooth-Gerät sein.
Obwohl der Glass-Anwender der Anfrage zur Verknüpfung zustimmen muss, indem er Glass berührt, ist dies aus mehreren Gründen ein ernst zu nehmendes Problem:
  • Erstens ist es möglich, diese erzwungenen Verbindungen zu nutzen, um Glass-Aktivitäten zu überwachen oder Glass über Bluetooth zu hacken, indem eine deformierte Bluetooth-Antwort gesendet wird.
  • Zweitens ist es nicht möglich, zu sehen, mit welchen Geräten Glass sich verknüpft hat; dies hat zur Folge, dass Glass mit einem fremden Bluetooth-Gerät verknüpft werden kann, das dann in der Lage ist, Man-in-the-Middle-Angriffe oder Überwachungsmöglichkeiten zu nutzen, um das Teilen des Bildschirms über "glasscast" auszulösen. Das Problem wird noch dadurch verschärft, dass Glass keinen Sperrbildschirm hat. Aus diesem Grund ist ein unbeaufsichtigtes Glass-Gerät gefährdet.
  • Und zu guter Letzt zum Thema Bluetooth: Durch einen erzwungenen Verbindungsabbruch mit seinem primär verbundenen Gerät versetzt sich ein Angreifer in die Lage, die Wiederaufnahme der Bluetooth-Session aufzuzeichnen, nachdem die Anfrage auf Verknüpfung abgelehnt wurde.  Dadurch würde eine Reihe von Schwachstellen im Bluetooth-Protokoll entblößt werden, die sich der Angreifer zunutze machen kann.
Bekanntmachung & Empfehlung
Am 16. Mai 2013 hat unser Sicherheits-Team Google über die Schwachstellen informiert. Das Team hat Google einige Empfehlungen gegeben, die in dem automatischen Update XE6 für Google Glass umgesetzt wurden.
Lookouts Empfehlungen zur Beseitigung der Schwachstellen von Google Glass:
  • Der Anwender muss zur Zustimmung aufgefordert werden, bevor eine in einem QR-Code gefundene Anweisung ausgeführt wird; oder
  • Der Anwender muss aufgefordert werden, Glass in einen "Scan-Modus" zu schalten oder eine "Scan-App" zu aktivieren, damit das Erkennen eines QR-Codes komplett in der Hand des Anwenders liegt. Dies hat den zusätzlichen Nutzen, dass der Anwender davor geschützt ist, dass der QR-Code Spam abruft ‒ eine wichtige Überlegung auch in Hinblick auf das Symbian "CommWarrior"-Problem. Dabei stimmen die Nutzer irgendwann einfach allem zu, damit die störenden Nachrichten aufhören.
 

Autor

Lookout