“一旦你的 Google Glass 被黑掉,沒有什麼是安全的了”
由於 Google Glass 對第三方開發者的限制,我們曾認為 Google 要做一個封閉的生態系統。不過,從 Google 員工那裡,卻傳出了不同的聲音。針對 Glass 被 Root 的新聞,Google Glass 的開發者之一 Stephen Lau 在 Google+ 上說,“我們故意不鎖上這個設備,讓大家破解並且做一些瘋狂有趣的東西。”
其實,這只是針對開發者群體的言論,與 Google 的策略不衝突。對於用戶來說,多數不會因為“瘋狂有趣”去 Root 設備,因為那會帶來許多安全上的隱患。特別是對於 Glass 這種新型設備來說,人們可能更加謹慎。 Google 董事長施密特在接受路透社採訪的時候,曾說 Google 會對所有的應用進行審查,“它是如此新奇,我們決定更加謹慎些。在未來更加開放些總是容易的”。
不過,在 Saurik(Jay Freeman,iOS 越獄界著名黑客,Cydia 創始人)看來,Glass 的安全問題需要獲得更大的關注。他在博客上講述了自己破解 Google Glass 的過程。
Saurik 取得 Root 權限的方法使利用了 Android 系統上的一個漏洞。
從 Glass 目前的設計看,它會面臨 Android 設備常見的安全問題,而且 Glass 沒有任何 PIN 碼保護機制。攻擊者可以使用設置面板進入 Debug 模式(開發者版中有這個模式),通過 ADB 獲得 Root 權限。他甚至可以在你在場的情況下安裝惡意軟件,需要的只是口袋中的 Android 設備,以及一根隱藏在衣服中的 OTG 數據線。
一旦攻擊者取得 Glass 的 Root 權限,他能夠做些非常可怕的事情。
更要命的是,“它會 hack 進你所交互的所有設備。它知道你所有的密碼,因為它能看著你鍵入它們。它甚至能夠監控你對一些安全、舊式技術的使用: 它看到你輸入門鎖密碼,它會拍攝你的鑰匙,它記錄了你用筆紙寫下的東西。一旦你的 Glass 被黑掉,沒有什麼是安全的了”。
Saurik 認為,Google 應該採取一些措施,以保護用戶的數據安全。
Glass 的安全問題已經受到開發者的關注。根據 Slashgear 的報導,已經有一位開發者做出了 Glass 上的鎖屏應用,不過它是本地應用,需要設備進入 Debug 模式,通過 adb 工具安裝。
資料來源:ifanr
其實,這只是針對開發者群體的言論,與 Google 的策略不衝突。對於用戶來說,多數不會因為“瘋狂有趣”去 Root 設備,因為那會帶來許多安全上的隱患。特別是對於 Glass 這種新型設備來說,人們可能更加謹慎。 Google 董事長施密特在接受路透社採訪的時候,曾說 Google 會對所有的應用進行審查,“它是如此新奇,我們決定更加謹慎些。在未來更加開放些總是容易的”。
不過,在 Saurik(Jay Freeman,iOS 越獄界著名黑客,Cydia 創始人)看來,Glass 的安全問題需要獲得更大的關注。他在博客上講述了自己破解 Google Glass 的過程。
Saurik 取得 Root 權限的方法使利用了 Android 系統上的一個漏洞。
引用這個漏洞如此簡單,你可以僅僅用一些文件就能實現,無需任何特殊工具。想要進行破解的話,你只需要 Android SDK 安裝電腦上,以及我的兩個文件:exploit.db 和su。
從 Glass 目前的設計看,它會面臨 Android 設備常見的安全問題,而且 Glass 沒有任何 PIN 碼保護機制。攻擊者可以使用設置面板進入 Debug 模式(開發者版中有這個模式),通過 ADB 獲得 Root 權限。他甚至可以在你在場的情況下安裝惡意軟件,需要的只是口袋中的 Android 設備,以及一根隱藏在衣服中的 OTG 數據線。
一旦攻擊者取得 Glass 的 Root 權限,他能夠做些非常可怕的事情。
引用他能夠控制你頭部的攝像頭和耳機。 Glass 不僅觀察你的每一個舉動:它觀察你所看到的所有東西(有意或無意),聽到你做的任何事情。它唯一不了解的是你的想法。
更要命的是,“它會 hack 進你所交互的所有設備。它知道你所有的密碼,因為它能看著你鍵入它們。它甚至能夠監控你對一些安全、舊式技術的使用: 它看到你輸入門鎖密碼,它會拍攝你的鑰匙,它記錄了你用筆紙寫下的東西。一旦你的 Glass 被黑掉,沒有什麼是安全的了”。
Saurik 認為,Google 應該採取一些措施,以保護用戶的數據安全。
- 在用戶摘掉 Glass 後,啟動一些保護機制。比如虹膜識別,聲紋識別,或者簡單的PIN 碼保護。這樣可以避免他人直接查看用戶隱私數據。
- 應該有一些方法,讓用戶確信 Glass 沒有在錄製視頻。 Saurik 的一個朋友提到,攝像頭外面可以使用滑動的塑料罩,以明確表明設備並未進行錄製。
- 在與開發者社群交流的時候,應該更加謹慎。 Saurik 指出,在看到 Glass 被 Root 的信息後,Google 員工的言辭很不謹慎,他們用玩笑態度對待,甚至提供錯誤信息,以至於Ars 網站在報導的時候,說“開發者是否真的獲得 root權限,或者僅僅利用了 Google 提供的 “fastboot OEM unlock” ,這引起了一些爭論”。因此,“在 Google 的工程師、擁護者和官員們未曾事先看待事實就發表了此類言論的情況下,無法對系統進行任何形式的合理及有據的討論。 Google 試圖用 Glass 開啟的門過於寬大,影響面過於廣泛,以至於我們不能允許這樣的隨意言論主導討論的進程”。
Glass 的安全問題已經受到開發者的關注。根據 Slashgear 的報導,已經有一位開發者做出了 Glass 上的鎖屏應用,不過它是本地應用,需要設備進入 Debug 模式,通過 adb 工具安裝。
資料來源:ifanr