Résumé : La société Lookout a découvert récemment une vulnérabilité au sein des équipements de type Google Glass. L'exploitation de cette dernière permettant à un attaquant de forcer la connexion de ces équipements à un point d'accès sans-fil hostile ou à un périphérique Bluetooth spécifique. - Lire l'article
Dans le courant du mois dernier, Google a publié un correctif silencieux à destination de l'ensemble de ses équipements de type Google Glass et cela consécutivement à la découverte d'une vulnérabilité qui permet à un attaquant mal intentionné de capturer les données des utilisateurs dès lors qu'elles sont envoyées depuis l'équipement en question, comme le révélait la firme Lookout.
En collaboration avec Google, cette firme, à l'origine de la découverte donc, mais aussi du correctif de cette vulnérabilité, précisait par ailleurs que cette dernière avait été reportée dès le seize mai de l'année courante à Google, une vulnérabilité ensuite rapidement fixée par ces derniers, dès le quatre juin. La mise à jour ayant été déployée automatiquement sur l'ensemble de ces équipements depuis.
Google tirait avantage de l'habilitée des Google Glass à lire des textes imprimés ou des QR codes afin d'offrir une procédure simple et automatique pour la configuration de ces équipements, sans recourir donc à un clavier externe. Découverte par Marc Rogers, la vulnérabilité exploite cette habilitée afin de connecter ces équipements à des réseaux WiFi particuliers ou des équipements Bluetooth.
Suite à l'analyse du processus de création d'un QR code à partir des instructions de configuration, le chercheur a dès lors été capable de produire ses propres codes de nature malicieuse. Lorsque ces codes étaient scannés par des Google Glass, celles-ci étaient alors forcées à se connecter sur un point d'accès sans-fil hostile, épiant ensuite les requêtes web de téléversement des images sur le cloud utilisé.
Lookout précisant également que cette méthode d'exploitation permettait aussi de détourner les équipements de cette nature vers une page web propre au point d'accès sans-fil hostile, cette page contenant un code additionnel qui se destinait quant à lui à l'exploitation d'une vulnérabilité propre à la version 4.0.4 du système d'exploitation Android accompagnant les Google Glass vulnérables.
A noter que le correctif, précédemment cité et déjà déployé, implique que les caméras équipant l'ensemble des Google Glass n'identifient plus des QR codes de manière automatique, donc uniquement maintenant lorsque les utilisateurs de ces équipements activent spécifiquement, à travers les paramètres adéquats, le processus en charge du scan de ces QR codes de configuration.
Vidéo résumant la vulnérabilité :
Source :
« Google Glass vulnerability discovered by Lookout could have captured user data » sur « The Inquirer » via « Topix » ( lien )
