Lookout, una società di sicurezza di San Francisco, ha scoperto una grave vulnerabilità nei Google Glass, i futuristici occhiali per la realtà aumentata che dovrebbero arrivare sul mercato entro la fine dell’anno. Il bug è stato individuato nella funzionalità che permette di effettuare il collegamento ad una rete WiFi, inquadrando con la fotocamera integrata un QR Code. Lookout ha segnalato la falla all’azienda di Mountain View a metà maggio e la patch è stata inclusa nell’ultimo firmware XE6 rilasciato all’inizio di giugno.
La causa del problema risiede nel modo in cui Google ha implementato le procedure di setup. Dato che gli unici metodi di input sono i comandi vocali e il trackpad presente sul telaio, gli occhiali sfruttano la funzionalità di riconoscimento ottico per leggere i QR Code, un tipo di codici a barre che possono, ad esempio, contenere le istruzioni per inviare un SMS o per aprire una pagina web. Nel caso di Google, questa feature viene usata anche per configurare il dispositivo. Un malintenzionato potrebbe creare un QR Code fasullo per forzare gli occhiali a connettersi silenziosamente (l’utente non riceve nessuna notifica) ad un access point WiFi “ostile”.
Utilizzando un tool come SSLstrip, è possibile spiare tutto il traffico di rete dei Google Glass, quindi vedere messaggi, email, immagini e chiamate Hangouts. Inoltre, si potrebbe dirottare il dispositivo su una pagina infetta che sfrutta una vulnerabilità di Android 4.0.4, la versione usata dagli occhiali. In questo modo, il malintenzionato ottiene il controllo completo dei Google Glass, può accendere la fotocamera da remoto e vedere quello che l’indossatore sta guardando.
Con il firmware XE6, l’azienda di Mountain View ha modificato il software del dispositivo. La fotocamera effettua la scansione dei QR Code solo se l’utente attiva l’apposita funzione nelle impostazioni. In precedenza, le istruzioni incluse nell’immagine venivano eseguite in modo automatico.