Google verre peut être piraté en utilisant javascript
Une faille de sécurité dans Android qui permet aux pirates d'exécuter du code arbitraire (ie leur propre code) a été testé sur Google verre et trouvé présent. Remonte à la dernière partie de l'année dernière la vulnérabilité réelle lorsque les chercheurs en sécurité ont découvert que les applications compilées avec l'API Android 4.1 Jelly Bean peut exploiter un bug en javascript. La fonction en question est addjavascriptInterface (). Il a été conçu pour permettre à un code Java pour être consulté à partir de javascript, mais avec une portée limitée. Toutefois, dans le niveau de l'API 16 et ci-dessous, il est cassé. Pour l'exploiter, une application juste besoin de créer une WebView puis exécuter du code qui accède à la fonction javascript cassée.
Documentation de l'API officielle de Google pour addjavascriptInterface () a une note qui reconnaît que pour les applications compilées contre le 4.1 SDK Android un attaquant peut manipuler l'application hôte de manière inattendue, l'exécution de code Java avec les autorisations de l'application hôte.
Récemment, le addjavascriptInterface () module de test pour Metasploit, le cadre populaire tests de vulnérabilité open-source, a été mis à jour pour permettre l'accès shell sur certaines versions du navigateur de Android ainsi que sur les navigateurs dérivés de Baidu et QQ. Dans les commentaires pour le module Metasploit publié récemment, Joshua J. Drake noté que «l'exécution de code fonctionne sur mon verre Google XE12 trop."
Le problème est que sur Android de nombreuses applications gratuites utilisent une WebView pour charger le contenu HTML (par exemple, le site des développeurs, des instructions et même la publicité) et si ce contenu HTML peut être modifié d'une certaine manière en utilisant une attaque man-in-the-middle ou en utilisant javascript malveillant dans un annonce alors la WebView peut être contraint d'exécuter le code de l'attaquant. Théoriquement, la même chose peut arriver sur Google Glass.
Selon un rapport publié vers la fin de l'année dernière par la société de sécurité MWR Labs, un grand nombre de ce SDK utilisé par les réseaux de publicité sont vulnérables à l'exploitation.
[quote qtext = "Nous avons analysé un grand nombre de réseau de publicité SDK et a constaté que beaucoup de ces mettre en œuvre des ponts qui sont vulnérables à l'exploitation. Certains réseau de publicité de SDK obtenue à partir des réseaux de publicité directement ont été trouvés pour ne pas être vulnérables (dans leur plus les versions récentes). Toutefois, un grand nombre d'applications sur le «Google Play Store» ont été trouvés à l'aide d'anciennes versions du SDK, qui sont vulnérables ". qperson = qSOURCE "MWR Labs" = "" qposition = "center"]
Il serait intéressant de voir une analyse similaire pour Google Glass.
Lorsque vous regardez une superproduction hollywoodienne vous pouvez parfois avoir raillé quelle facilité les pirates ou les agents du gouvernement peuvent pirater les smartphones, mais en fait, il pourrait être plus facile que vous le pensez!