Hacker verbouwt Casio F-91W-horloge om er 2fa-inlogcodes op te tonen

Tweetrapsauthenticatie is veilig, maar elke keer je authenticatieapp openen is een hoop gedoe. Dat vond althans een creatieve hacker, die zijn klassieke Casio F-91W wist om te toveren tot TOTP-codegenerator.

Een onbekende hacker beschrijft in een blogpost hoe hij een Casio F-91W-horloge wist om te bouwen tot een slim horloge - of in ieder geval een horloge dat 2fa-codes kan genereren. De hacker verving de interne hardware van het horloge, maar liet het originele lcd en de originele knoppen zitten. Ook verving hij het moederbord van het originele horloge door een Sensor Watch, een board dat specifiek voor het klassieke en veelverkochte digitale horloge is gemaakt. De Sensor Watch bevat een Microchip SAM L22-microcontroller op basis van een Arm Cortex M0+, en het bordje kan tien cijfers op een lcd laten zien. Er zit tevens een UF2-bootloader op de Sensor Watch die via USB Micro-B kan worden geprogrammeerd.

Dat laatste deed de hacker; hij maakte een watch face voor het horloge dat automatisch Timed-based one-time passwords of TOTP-codes genereert, net zoals apps als Google Authenticator dat doen. Hij moest daarvoor de secret van een 2fa-aanmelding omzetten naar hexadecimale bytes en die toevoegen aan de broncode van zijn watch face. Daarnaast zorgde hij ervoor dat hij met een van de knoppen op het horloge kan wisselen tussen verschillende ingestelde codes. En geen zorg, hij kan ook gewoon de tijd lezen op het horloge. Daarvoor kan hij wisselen tussen verschillende watch faces.

Casio totp

Reacties (27)

bartje 18 oktober 2022 14:53

mocht je interesse hebben,
de bordjes zijn hier te koop
https://www.crowdsupply.c...ific-objects/sensor-watch

smeaggie @bartje • 18 oktober 2022 17:18

En dan lees ik daar:

Sensor Watch is designed to be useful right off the bat. The community Sensor Watch firmware, called Movement, has several useful watch faces already:

[...]

The TOTP Face displays time-based one-time passwords, the kind that you need for two-factor auth on many websites.

[...]

Dus blijkbaar is er een standaard watch face voor TOTP...

[Reactie gewijzigd door smeaggie op 22 juli 2024 13:38]

Toettoetdaan @smeaggie • 18 oktober 2022 17:46

In de blogpost van die gast staat er netjes beschreven hoe je het allemaal moet doen. Maar ja de echte maker is Joey Castillo.

merethan @Toettoetdaan • 19 oktober 2022 09:05

Dat maakt dit hele artikel dan fake news lijkt mij.

F-91W @bartje • 18 oktober 2022 18:49

Dit is wel heel wow. Ze zijn nu te pre-orderen, en $18 shipping vanuit de VS. Enig idee of dit nog naar een reseller dichter in de buurt komt? Zou wel een heel grappig kerstkado zijn.

sebasmac 18 oktober 2022 14:50

Geek ja, hacker nee...

Ik zou het meer een programmeur noemen

maurict @sebasmac • 18 oktober 2022 14:52

Dat ligt er aan welke definitie je gebruikt, toch? Sommigen vinden dat een hacker iemand is die een device of service voor iets anders gebruikt dan het oorspronkelijke doeleinde

borbit @maurict • 18 oktober 2022 17:52

Ik ben timmerman. En soms gaat het niet zoals het moet dus moet het zoals het gaat. Onder jongere collega's is het dan niet raar om te zeggen "ik heb het een beetje gehackt". Zeker als het om slimme schakelaars, of RGB spotjes gaat of zo. Tegen oudere collega's zeg je dan "ik heb het een beetje geknutseld"

Net als "ik moet het nog een beetje tweaken" en "ik moet nog een beetje klooien".

Anoniem: 91634 @borbit • 19 oktober 2022 14:22

Van hacken heb ik begrepen dat het stond voor het kraken/omzeilen van de beveiliging in software.

Tegenwoordig wordt het woord hacken te pas en te onpas voor zo beetje alles gebruikt.

Je bent tegenwoordig al een hacker wanneer je een schroefje vast of los schroeft.

soedesh @Anoniem: 91634 • 20 oktober 2022 04:09

Dat is ook wat ik heb begrepen. Met daarbij de aantekening dat er weinig te hacken valt als de beveiliging op orde is. Ofwel: Echte hackers bestaan vrijwel niet. Pas als je een niet bekend exploit gebruikt ben je wat mij betreft een hacker en heb je de plicht dit gelijk te melden. Gebruik maken van oude/bekende beveiligingslekken noem ik overigens geen hacken, Een script kiddy kan dat ook!

Dutch_CroniC @borbit • 19 oktober 2022 08:50

Zie het als een lifehack.
Een product gebruikt voor het 1 blijkt super handig voor wat anders, met of zonder modificaties.

Maar ik snap het, aangezien het belangrijkste zo is aangeschaft en alleen is geprogrammeerd is dit niet echt een product hacken.

jbhc @borbit • 18 oktober 2022 19:34

Toch klinkt dat meer als verbeuhnen

dog4life @borbit • 18 oktober 2022 22:47

Geweldige analogie, +4!

Christoxz @sebasmac • 18 oktober 2022 14:56

Geek ja, hacker nee...

Daar gaan we weer, deze opmerking is al vaker gemaakt en het blijft een hacker, althans zo is de term origineel ontstaan.

Originally, hacker simply meant advanced computer technology enthusiast (both hardware and software) and adherent of programming subculture.

lenwar

@Christoxz • 18 oktober 2022 15:42

Inderdaad. Het is uiteindelijk net wat voor term je er aan wil knopen. Zelfde als het gaat om case modding.

Ik noem zelf iemand die een paar op maat gemaakte lampjes in z'n kast hangt niet echt een case-modder. (geen waardeoordeel uiteraard). Mensen die aan de slag gaan met een dremel en purschuim om zo een kunstwerkje te maken daarintegen weer wel. (bij wijze van)

Maar goed. Het is net hoe iedereen het ziet.

OmgItsKoen @sebasmac • 18 oktober 2022 14:53

A hacker is a person skilled in information technology who uses their technical knowledge to achieve a goal or overcome an obstacle, within a computerized system by non-standard means. Though the term hacker has become associated in popular culture with a security hacker – someone who utilizes their technical know-how of bugs or exploits to break into computer systems and access data which would otherwise be inaccessible to them – hacking can also be utilized by legitimate figures in legal situations.

Je verward de term hacker met security hacker.

Erg nice gedaan, grappig om de code ook in te kunnen zien. Ziet er toch wel behoorlijk simpel uit, niet verwacht!

himlims_ @sebasmac • 18 oktober 2022 14:53

De hacker verving de interne hardware van het horloge, maar liet het originele lcd en de originele knoppen zitten. Ook verving hij het moederbord van het originele horloge met een Sensor Watch, een board dat specifiek voor het klassieke en veelverkochte digitale horloge is gemaakt.

enkel wat code kloppen is wat kort door de bocht

zowel hardware als software heeft hij moeten sleutelen, lijkt me niet simple 'geek' (stackoverflow copy/past)

Dutch_CroniC @himlims_ • 19 oktober 2022 08:51

Hij heeft alleen het bordje vervangen, niet eens zelfs gemaakt/gemod, behalve wat programmeer werk

The Zep Man 18 oktober 2022 14:55

Leuk project, en leuk bordje!

Ik ben benieuwd hoe lang de batterij meegaat. Een TOTP berekenen of de tijd tonen met een Cortex M0+ zal waarschijnlijk meer energie kosten dan dat de originele hardware verbruikt.

[edit]
De vergelijkingstabel van de Sensor Watch en andere smartwatches schat een jaar. Da's niet verkeerd.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:38]

ikt @The Zep Man • 18 oktober 2022 16:39

Een jaar is knap op die knoopcel, maar wel jammer dat het bereikt wordt door nul draadloze connectivity te hebben. Dat neemt het "smart" gedeelte wel een beetje weg

Leuk hebbeding, maar je moet maar zin hebben om een nieuwe firmware image te bouwen en het ding te openen als je nieuwe apps/watchfaces wil

Jammer, had 'm zeker besteld als er een beetje (on-demand) wireless connectivity was.

Sp0Q 18 oktober 2022 14:57

Dit lijkt wel op de https://github.com/travisgoodspeed/goodwatch
Die zou ik zelf nog graag eens in elkaar zetten.

Jerie

@Sp0Q • 18 oktober 2022 16:18

Wilde net zeggen dat ik al eerder Casio watch hacks heb gezien. Leuk. Deze bijvoorbeeld voegt Bluetooth en OLED toe: https://gitlab.com/_Pegor/kepler_fw

Geestig genoeg is Bluetooth juist niet wat je wilt op een airgapped computer (OLED ook niet; LCD is al low power, en anders is de oplossing van Fossil te weten e-ink + mechanische wijzers een goeie). En een airgapped computer is prima toepassing van TOTP. Ware het niet dat bijvoorbeeld in zwembad je je Casio watch niet af kunt sluiten, terwijl je dat met je smartphone wel kunt doen.

Verder kan m'n Fossil Hybrid HR hier niet tegen op (die houdt het twee weken uit bij licht gebruik met Bluetooth + Gadgetbridge, een maand zonder Bluetooth)

[Reactie gewijzigd door Jerie op 22 juli 2024 13:38]

snellehenkie 18 oktober 2022 20:53

Vroegah..ontwikkelden wij 2FA via de Pebble watch. Die was toen net uit. Heb ik nog een leuke video van.
https://www.youtube.com/watch?v=TTRlJn9Qp-w

Werkte als een speer.

Anoniem: 454358 18 oktober 2022 16:15

Hack vind ik persoonlijk een wat groot woord voor iemand die een kant en klaar drop in module inbouwt en daar wat software voor aanpast. Maar toch leuk omdat ik niet wist van die module, maar eens zelf gaan aanschaffen

Schway 18 oktober 2022 19:00

Ik moet er wel een nachtje over slapen hoor, anders zit ik zo weer met allemaal verschillende horloges

oudengrijs 18 oktober 2022 19:04

Onvermoede mogelijkheden van dit stukje retro-high-tech.

Ik kan me herinneren dat ooit werd afgeraden om dit horloge te dragen op een trip naar de US.
Zie: https://www.vice.com/en/a...ts-ied-trigger-cost-price

De schrijver van de blogpost maalt daar blijkbaar niet om. Hij heeft domicilie gekozen in het 'British Indian Ocean Territory', in het volle zicht van de US Navy op Diego Garcia. Een keuze voor het vanity domain dat is verbonden met de tragedie van de Chagoseilanden blijft me overigens verbazen. Maar goed, dit TLD houdt straks misschien op te bestaan.

DeVins 19 oktober 2022 10:58

Leuk gedaan, ook al noem ik het niet echt een hack.

Benieuwd of zoiets pasbaar te maken valt voor mijn radiogestuurde Casio Waveceptor WV-59, eventueel het datum display er voor aanpassende

Op dit item kan niet meer gereageerd worden.

Hacker verbouwt Casio F-91W-horloge om er 2fa-inlogcodes op te tonen

Lees meer

Reacties (27)

Sorteer op:

Weergave: