セキュリティ調査会社Lookoutは、QRコードを使用してデバイスを制御できるGoogle Glassの脆弱性を発見し、The Vergeを書いています 。 Googleはすでに脆弱性を修正しており、Lookoutがエクスプロイトがどのように機能したかの詳細を伝えることができました。
LookoutはQRコードを使用して、GlassをWi-Fiアクセスポイントにシームレスに接続できたため、研究者はデバイスに出入りするすべてのデータを見ることができました。 Android 4.0.4のネットワークの脆弱性と組み合わせることで、このエクスプロイトにより研究者はGlassを完全に制御できました。
この脆弱性は、Google Glassのセットアッププロセスの仕組みに基づいていました。 メガネなどのデバイスにはキーボードやその他の入力デバイスがないため、それらを構成するには、内蔵カメラで準備済みのQRコードを撮影する必要があります。その後、新しいパラメーターが自動的に受け入れられます。
SlashGearによると 、QRコードの定義についてユーザーに通知したり、パラメーターを変更したりすることなく、構成が自動的に行われたという事実こそが、この脆弱性の悪用を許可したということです。 GoogleのQRコードのリバースエンジニアリングを使用して、デバイスを目的のWi-Fiネットワーク攻撃者に接続する独自のQRコードを作成できます。
SSLstripソフトウェアツールを使用すると、メッセージ、手紙、ビデオ通話など、Glassのすべてのネットワークトラフィックにアクセスできます。 この方法が多くの要因に依存していることは注目に値し、広く使用される可能性は低いです。
ただし、Android 4.0.4の脆弱性を利用してさらに進んで、Glassをワイヤレスアクセスポイントのページにリダイレクトし、デバイスを完全に制御し、カメラ画像を傍受してメガネの所有者が見ているものを確認することもできました。
Lookoutの研究者は、5月16日に脆弱性についてGoogleに報告し、6月4日にパッチが適用されたXE6ファームウェアがリリースされました。 Lookoutによると、これはGlassの唯一の脆弱性ではありませんでしたが、デバイスが市場に登場するまでに、多くの開発者が徹底的にテストしたことを期待することしかできません。