O Google Glass é um dos assuntos do momento e, como tal, atrai também a atenção da galera que curte explorar uma vulnerabilidade. Só para você ter uma ideia, o Google liberou recentemente uma correção para uma falha que possibilitava roubo de dados quando um QR Code era lido pelo dispositivo.
A vulnerabilidade, descoberta pela empresa Lookout Security, está atrelada a uma característica até então padrão do Google Glass: a câmera do dispositivo era configurada para analisar a todo instante as imagens capturadas e executar automaticamente as instruções de qualquer QR Code identificado.
Cientes disso, os especialistas da Lookout inseriram instruções maliciosas em QR Codes e os fizeram ser lidos pelo Google Glass. A primeira delas orientava o dispositivo a realizar uma transmissão de dados via Bluetooth para outro equipamento suficientemente próximo sem o usuário perceber.
Outra – e certamente a mais grave – obrigava o Google Glass a se conectar a uma rede Wi-Fi controlada pelo invasor. A partir daí, o dispositivo poderia ser controlado remotamente para transmitir as informações que o usuário estava visualizando ou para executar outras instruções, como eliminar dados.
É claro que as vulnerabilidades testadas são bastante limitadas, uma vez que exigiam que o usuário estivesse próximo da rede Wi-Fi do mal ou do dispositivo Bluetooth encapetado (neste último, deveria estar bem próximo mesmo). Mas, obviamente, mentes férteis poderiam encontrar outras utilidades para a vulnerabilidade.
O Google foi comunicado sobre o problema em maio. Após a empresa liberar a atualização, a Lookout liberou um curto vídeo no melhor estilo “entendeu ou quer que eu desenhe?” explicando a vulnerabilidade:
Com a correção, o Google Glass não se conecta mais automaticamente quando orientado via QR Code – o usuário só poderá fazê-lo ao permitir a conexão a partir do menu de configuração de redes. Além disso, o dispositivo agora exibe os comandos dados pelo QR Code e só os executa se o usuário autorizar. Em resumo: calma, tá tudo bem agora.
Com informações: PCMag.com.