“一旦你的 Google Glass 被黑掉,沒有什麼是安全的了”

由於 Google Glass 對第三方開發者的限制,我們曾認為 Google 要做一個封閉的生態系統。不過,從 Google 員工那裡,卻傳出了不同的聲音。針對 Glass 被 Root 的新聞,Google Glass 的開發者之一 Stephen Lau 在 Google+ 上說,“我們故意不鎖上這個設備,讓大家破解並且做一些瘋狂有趣的東西。”

其實,這只是針對開發者群體的言論,與 Google 的策略不衝突。對於用戶來說,多數不會因為“瘋狂有趣”去 Root 設備,因為那會帶來許多安全上的隱患。特別是對於 Glass 這種新型設備來說,人們可能更加謹慎。 Google 董事長施密特在接受路透社採訪的時候,曾說 Google 會對所有的應用進行審查,“它是如此新奇,我們決定更加謹慎些。在未來更加開放些總是容易的”。

不過,在 Saurik(Jay Freeman,iOS 越獄界著名黑客,Cydia 創始人)看來,Glass 的安全問題需要獲得更大的關注。他在博客上講述了自己破解 Google Glass 的過程。

Saurik 取得 Root 權限的方法使利用了 Android 系統上的一個漏洞。

引用這個漏洞如此簡單,你可以僅僅用一些文件就能實現,無需任何特殊工具。想要進行破解的話,你只需要 Android SDK 安裝電腦上,以及我的兩個文件:exploit.db 和su。

從 Glass 目前的設計看,它會面臨 Android 設備常見的安全問題,而且 Glass 沒有任何 PIN 碼保護機制。攻擊者可以使用設置面板進入 Debug 模式(開發者版中有這個模式),通過 ADB 獲得 Root 權限。他甚至可以在你在場的情況下安裝惡意軟件,需要的只是口袋中的 Andr​​oid 設備,以及一根隱藏在衣服中的 OTG 數據線。

一旦攻擊者取得 Glass 的 Root 權限,他能夠做些非常可怕的事情。

引用他能夠控制你頭部的攝像頭和耳機。 Glass 不僅觀察你的每一個舉動:它觀察你所看到的所有東西(有意或無意),聽到你做的任何事情。它唯一不了解的是你的想法。

更要命的是,“它會 hack 進你所交互的所有設備。它知道你所有的密碼,因為它能看著你鍵入它們。它甚至能夠監控你對一些安全、舊式技術的使用: 它看到你輸入門鎖密碼,它會拍攝你的鑰匙,它記錄了你用筆紙寫下的東西。一旦你的 Glass 被黑掉,沒有什麼是安全的了”。

Saurik 認為,Google 應該採取一些措施,以保護用戶的數據安全。

  • 在用戶摘掉 Glass 後,啟動一些保護機制。比如虹膜識別,聲紋識別,或者簡單的PIN 碼保護。這樣可以避免他人直接查看用戶隱私數據。
  • 應該有一些方法,讓用戶確信 Glass 沒有在錄製視頻。 Saurik 的一個朋友提到,攝像頭外面可以使用滑動的塑料罩,以明確表明設備並未進行錄製。
  • 在與開發者社群交流的時候,應該更加謹慎。 Saurik 指出,在看到 Glass 被 Root 的信息後,Google 員工的言辭很不謹慎,他們用玩笑態度對待,甚至提供錯誤信息,以至於Ars 網站在報導的時候,說“開發者是否真的獲得 root權限,或者僅僅利用了 Google 提供的 “fastboot OEM unlock” ,這引起了一些爭論”。因此,“在 Google 的工程師、擁護者和官員們未曾事先看待事實就發表了此類言論的情況下,無法對系統進行任何形式的合理及有據的討論。 Google 試圖用 Glass 開啟的門過於寬大,影響面過於廣泛,以至於我們不能允許這樣的隨意言論主導討論的進程”。

Glass 的安全問題已經受到開發者的關注。根據 Slashgear 的報導,已經有一位開發者做出了 Glass 上的鎖屏應用,不過它是本地應用,需要設備進入 Debug 模式,通過 adb 工具安裝。

資料來源:ifanr

如果喜歡我們的文章,請即分享到︰

標籤: Google Glass  數據安全