Google Glass est l’un des sujets du moment et, à ce titre, il attire également l’attention des personnes qui aiment explorer une vulnérabilité. Pour vous donner une idée, Google a récemment publié un correctif pour un pépin qui permettait le vol de données lorsqu’un code QR était lu par l’appareil.
La vulnérabilité, découverte par la société Lookout Security, est liée à une fonctionnalité précédemment standard de Google Glass : la caméra de l’appareil a été configurée pour analyser les images capturées à tout moment et exécuter automatiquement les instructions de tout code QR identifié.
Conscients de cela, les experts de Lookout ont inséré des instructions malveillantes de codes QR et les ont fait lire par Google Glass. Le premier d’entre eux a guidé l’appareil pour effectuer une transmission de données via Bluetooth vers un autre appareil suffisamment proche sans que l’utilisateur ne s’en aperçoive.
Un autre – et certainement le plus grave – a forcé Google Glass à se connecter à un réseau Wi-Fi contrôlé par des intrus. De là, l’appareil pouvait être commandé à distance pour transmettre les informations que l’utilisateur consultait ou pour exécuter d’autres instructions, telles que la suppression de données.
Bien sûr, les vulnérabilités testées sont assez limitées, puisqu’elles exigeaient que l’utilisateur soit proche du réseau Wi-Fi du mal ou du dispositif Bluetooth encapsulé (dans ce dernier cas, il doit être très proche en effet). Mais, évidemment, les esprits fertiles pourraient trouver d’autres utilités pour la vulnérabilité.
Le problème a été signalé à Google en mai. Après la publication de la mise à jour, Lookout a diffusé une courte vidéo dans le style “comprendre ou vouloir que je conçoive” expliquant la vulnérabilité :
Avec le correctif, Google Glass ne se connecte plus automatiquement lorsqu’il est dirigé par un code QR – l’utilisateur ne pourra le faire qu’en autorisant la connexion à partir du menu de configuration du réseau. En outre, l’appareil affiche désormais les commandes données par le code QR et ne les exécute que si l’utilisateur l’autorise. En bref : détendez-vous, tout va bien maintenant.
