从二维码黑掉Google Glass看可穿戴设备的安全

小伙子，当心你的Google Glass——邪恶的图片除了能毁你的三观之外还能毁设备。

美国的一家安全公司Lookout Mobile近日表示他们发现Google Glass只要拍下了一张流氓二维码照片，后者就能让前者宕机。要说明的是：这里说的是“拍下”，而不是“扫瞄”——也就是说即使二维码只是出现在某张照片的背景里，也是照黑不误。目前他们已经将这个bug报告给谷歌，并且已经帮着谷歌修好了。

Lookout的研究人员Marc Rogers表示：“Google Glass此前的设置是会对它拍下的所有照片进行扫描（小编注：猜测可能是Auto-awesome这样的表情识别功能。）但这样的照片解析功能实际上有很大的隐患。我们发现恶意的二维码能秘密地更改设备的设置。”

Rogers还提到了一个非常慎的场景：比如一个猥琐男可以穿上一件印了恶意二维码的T恤，然后假装“不经意”地出现在你的拍摄背影里。跟着Glass就会自动扫描你所有的照片，顺带也解析这个二维码。再然后你就会发现你的17.2G全让人扒了传网上了——当然好消息是Google Glass存不了17.2G这么多。

另外，Rogers甚至还用不干胶打印了一些二维码的样本，这些可以直接贴到非常常见的广告上伪装成正常的二维码。

Lookout在5月中旬就将这一漏洞报告给了谷歌，之后漏洞在6月初的自动更新上已经修复。现在Glass只在一些特定模式下解析二维码。Google Glass的一位发言人对福布斯表示，在Glass上他们非常重视安全问题；并且提到Glass探索者项目（Explorer Program）的一大目标就是在推向大众以前发现和解决Glass上的漏洞。

其实由二维码发动安全攻击我们并不是第一次听说了。早在2007年就有人提出印在报纸上的恶意二维码如何能感染用户设备；去年9月也有研究者发现通过二维码指向的一个链接能轻松擦除掉Galaxy S III上的用户数据，把手机分分钟打成出厂设置。但是相比手机，可穿戴设备更加脆弱。

当下二维码的漏洞确实已经修复，但随着可穿戴设备的普及像Glass这样的设备仍有很大可能成为犯罪分子攻击的目标。

在4月份，Android开发者Jay Freeman将Google Glass越狱使其能安装任何的未认证软件。同时他也警告过大家，因为Glass几乎可以完全伴随用户的生活，那么一旦被黑将会很有可能出现重大的隐私泄露（顺带揭秘一大拨贪官么？）。

Freeman在公告中写道，“Glass一旦被劫持，它所能监视的不仅仅是你的生活——实际上是你在看什么它就能换看到什么，你在听什么它就能听到什么。它唯一做不到的就是不知道你在想什么。”

所以最后希望Glass在推向大众以前能发现和修复更多这样的问题，这也是同类可穿戴设备必过的一道坎。

Via：forbes