不正なQRコードでGoogle Glassを乗っ取り、Googleが脆弱性を修正

Google Glassで不正なコードを撮影させることにより、攻撃者が制御する不正なWi-Fiアクセスポイントに接続させることが可能だったという。

[鈴木聖子，ITmedia]

　「Google Glass」で無線LAN接続のために使われているQRコードを悪用し、他人のGoogle Glassを不正なWi-Fiアクセスポイントに接続させることができてしまう問題があったことが分かった。Googleは報告を受けて、既にこの問題を修正済みだという。

　この脆弱性情報は、モバイルセキュリティを手がけるLookoutが7月17日のブログで公表した。それによると、不正なQRコードを作成してGoogle Glassユーザーにそのコードを撮影させる方法で、ユーザー本人が知らないうちに、攻撃者の制御する不正なWi-Fiアクセスポイントに接続させることが可能だったという。

　このアクセスポイントを使えば、例えばWeb閲覧のリクエストやクラウド環境にアップロードした画像など、Google Glassを使ったネット接続の内容を監視できる状態だった。

　さらに、Android 4.0.4の既知の脆弱性を突いたWebページを閲覧させ、Google Glassをハッキングすることもできてしまったという。

　Lookoutは5月16日にこの問題をGoogleに報告し、Googleは6月4日にリリースしたバージョンXE6でこの脆弱性を修正したという。

　眼鏡のような日用品にネット接続機能が加わることにより、「それまでセキュリティとは無縁だった物体が突然、個人情報などの重要情報を保護する役割を担わされる」とLookoutは解説。「物の本質を変えるに当たっては、脆弱性を見つけて迅速かつ効率的に管理することが最優先課題になる」と説いている。