24 maart 2014 14:47

Beveiliging Google Glass laat te wensen over

Universitaire onderzoekers hebben spyware vermomd als een nuttige app. Ze wisten zo via de Play Store hun kwaadaardige software op Google Glass te krijgen.

Recent wetenschappelijk onderzoek met spyware voor Google Glass toont aan dat er nog veel beveiligingswerk gedaan moet worden voordat de "hoofdcomputer" beschikbaar komt voor consumenten.

Mike Lady en Kim Paterson, beiden bijna afgestudeerde onderzoekers aan California Polytechnic San Luis Obispo, bouwden de eerste spyware voor Glass. Wanneer de app geïnstalleerd is, neemt zij elke tien seconden een foto en verstuurt deze naar een externe server.

[related_article id=”158901″]

Stiekem
De drager van Glass heeft geen idee dat deze foto"s gemaakt worden, want de app werkt alleen wanneer het scherm van het apparaat uitgeschakeld is. Hoewel Google ontwikkelaars verbiedt dergelijke stiekeme programma"s te maken, is er niets in de software van Glass die hun werking voorkomt.

“Het kwam als een verrassing dat dit kon, want Google Glass is al een jaar beschikbaar”, zegt Lady. “Daarom had ik verwacht dat iemand anders dit probleem wel al tegen was gekomen. Dat had Google de tijd gegeven om het te tackelen.”

Play Store
Lady en Paterson hebben de spyware vermomd als notitiesoftware onder de naam Malnotes. Deze app is te krijgen in de Google Play Store. De onderzoekers kozen voor de Play Store in plaats van de MyGlass Store om te testen of Google de app zou detecteren in het normale, geautomatiseerde screeningproces.

Omdat Glass nog steeds in ontwikkeling is, worden nieuwe apps voor MyGlass met de hand gecontroleerd. “In dat proces zouden we waarschijnlijk ontdekt zijn”, denkt Lady. “Omdat we geen echte functionaliteit hebben, anders dan het heimelijk nemen van foto"s.”

Broncode
Google werd zich bewust van Malnotes nadat een professor van de onderzoekers had getweet over het werk van zijn studenten. De eerste reactie was hardhandig. Een medewerker vroeg om de broncode en zei dat de onderzoekers waarschijnlijk in overtreding waren op de termen van Glass.

In de daaropvolgende correspondentie verzacht Google zijn aanpak en herkent de app als legitiem onderzoek. “Sinds we de code en uitleg over onze bedoelingen hebben gegeven zijn ze een stuk vriendelijker geworden”, vertelt Lady.

Toegang
De onderzoekers kozen er bewust voor de spyware te vermommen, om aan te tonen dat gebruikers wanneer iets legitiem lijkt makkelijker toestemming geven voor contact met internet en toegang tot de fotocamera van Glass.

Als de app beschikbaar was geweest op MyGlass waren de download en installatie automatisch gebeurd. Momenteel zijn veel apps voor Glass echter alleen te verkrijgen via de websites van de ontwikkelaars, waardoor de kans toeneemt dat spyware verspreid wordt via een derde partij.

Om iets te installeren van een andere website dan MyGlass, dient de gebruiker zijn Glass via USB met de pc te verbinden. Het apparaat moet in de debugmodus geplaatst worden. Hoe Google dit in de toekomst gaat aanpakken is nog niet bekend.

Winkels van derden
Glass draait op hetzelfde Androidsysteem als de hedendaagse smartphones. Ook hierbij komt de grootste risico voor malware van appstores van derden, populair in Azië, Oost-Europa en Rusland. In de Verenigde Staten en West-Europa maken de gebruikers veelal gebruik van Google Play om apps te downloaden.

De beste manier om je Glass tegen malware te beschermen is door MyGlass te gebruiken en extreem voorzichtig om te gaan met downloads van externe websites. Daarnaast is het verstandig je apparaat te beveiligen met handgebaren, voor het geval iemand anders fysieke toegang krijgt tot je Glass.

“Ik moedig gebruikers aan degelijk onderzoek te doen en niet blind de laatste, populairste en gaafste Glass-apps te installeren vanaf een externe website”, besluit Lady.

Mike Lady en Kim Paterson studeren komend voorjaar af. Lady weet zich verzekerd van een baan bij Worday, een bedrijf gericht op zakelijke software in de cloud. Paterson gaat aan de slag bij Google.