„Hacking the internet of things for good“ hat sich Security-Anbieter Lookout auf die Fahnen geschrieben und gleich schon mal Googles Datenbrille Glass gehackt. Der Suchmaschinen- und Brillenentwickler reagierte entsprechend.
Wird es den Security-Anbietern fad, dann fangen sie selber zu hacken an – so die landläufige Meinung. Lookout, dem Anbieter von mobilen Sicherheitslösungen, ging es beim Hack von Googles Datenbrille Glass allerdings darum, zu zeigen, „dass vernetzte Geräte dasselbe Maß an Sicherheit benötigen wie Software auf Smartphones oder PCs“.
Um unser Sicherheitsdenken für vernetzte Geräte zu fördern, verwendeten die Lookout-Experten einen QR-Code, dem ein bösartiger Code hinterlegt war. Dieser verband Glass – ohne dass es der Besitzer merkte – mit einem Bluetooth-Gerät oder WLAN-Access-Point, den der Angreifer kontrollierte.
Über eine Web-Schwachstelle von Android ließen sich alle Verbindungen des Brillenbesitzers auslesen, und der Angreifer erlangte die komplette Steuerung der Datenbrille aus der Ferne. Die Einzelheiten zeigt Lookout in einem Video.
Knapp drei Wochen nach Offenlegung der Schwachstelle durch Lookout hat Google die Sicherheitslücke mit dem automatischen Update XE6 an alle Beta-Nutzer von Google Glass verteilt. QR-Codes werden jetzt erst dann gestartet, wenn der Anwender die Nutzung aktiv zulässt. „Entwickler müssen Wearables und vernetzte, mit einem Sensor ausgestattete Geräte mit genauso viel Voraussicht behandeln wie es Google mit Glass macht“, lobt Marc Rogers, Sicherheitsforscher bei Lookout und einer der Entdecker der Schwachstelle. „Für die Geräte der nächsten Generation darf Sicherheit nicht länger nur eine Fußnote sein.“
