Entwicklerversion der Google Glass per QR-Code gehackt

Der Sicherheitsfirma Lookout gelang es, Googles Datenbrille durch das Abfotografieren eines QR-Codes zu kompromittieren. Google hat die Lücke kurz darauf behoben.

In Pocket speichern vorlesen Druckansicht 87 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Die auf Android spezialisierte Sicherheitsfirma Lookout hat eine Sicherheitslücke in der Entwicklerversion von Google Glass entdeckt, durch die man die Datenbrille über QR-Codes kompromittieren konnte. Nachdem die Sicherheitsfirma Google über ihren Fund informiert hat, wurde die Lücke geschlossen.

Die Google-Brille versteht in QR-Codes gespeicherte Befehle und lässt sich darüber etwa anweisen, einem bestimmten WLAN beizutreten. Auf diese Weise nimmt man auch die Ersteinrichtung vor. Zu dem Zeitpunkt, als Lookout die limitierte Entwicklerversion der Google-Brille (Explorer Edition) untersucht hatte, hat sie jedes aufgenommene Bild nach QR-Codes durchsucht. Wurde sie fündig, hat sie die Befehle stillschweigend ausgeführt.

Die Sicherheitsexperten von Lookout haben sich dies zunutze gemacht, um Glass in ein WLAN zu locken, das unter ihrer Kontrolle stand. Dort haben sie dann den Datenverkehr umgeleitet, um das Gerät auf eine speziell präparierte Webseite zu lotsen, die eine Schwachstelle im Android-Browser ausnutzt. Durch den Exploit wäre es möglich gewesen, die volle Kontrolle über Google Glass zu übernehmen und etwa Befehle als Root auszuführen.

Lookout hat Google am 16. Mai über die Schwachstelle informiert. Drei Wochen später brachte Google das Update XE6 heraus, mit dem das Scannen von QR-Codes nur noch in bestimmten Situationen aktiv ist.

Vor Angriffen über QR-Codes, dem sogenannten Attagging, sind übrigens auch Smartphones und Tablets nicht gefeit. Grund zur Panik gibt es allerdings nicht: Die Codes können zwar prinzipiell auf Angriffsseiten oder Trojaner-Apps zeigen. Die Wahrscheinlichkeit, einem solchen QR-Code in freier Wildbahn zu begegnen, ist aktuell jedoch äußerst gering. (rei)