Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Notificaties op Android Wear zijn versleuteld met eenvoudig te kraken pincode

De versleutelde communicatie tussen een Android-telefoon en een smartwatch met Android Wear is beveiligd met een pincode van slechts zes cijfers. Dat claimt een beveiligingsbedrijf. Wie de zescijferige pincode kraakt, kan notificaties van gebruikers onderscheppen.

Met gekraakte pincodes kan onderschept verkeer ontsleuteld worden en zijn berichten uit te lezen, stelt een beveiligingsonderzoeker van BitDefender. Het kraken van de pincode zou niet moeilijk zijn: omdat het zes cijfers zijn, zijn er maximaal een miljoen mogelijkheden. Met een brute force-aanval van opensourcetools is die code makkelijk te achterhalen.

Over de bluetooth-verbinding stuurt de telefoon notificaties door, zoals chatberichten, mails, sms'jes en binnenkomende telefoontjes. Om het verkeer te onderscheppen moet de aanvaller wel dicht bij de gebruiker in de buurt zijn, zodat de bluetooth-verbinding in zicht is. De onderzoeker gebruikte een Nexus 4 met Android L Preview en een Samsung Gear Live-smartwatch met Android Wear.

Huidige smartwatches en telefoons leggen verbinding via bluetooth 4.0 en 4.1, versies waarin de stuurgroep Bluetooth SIG een zwakkere beveiliging in heeft gezet dan in oudere bluetooth-versies, omdat het niet op tijd te implementeren bleek. In versie 4.2 is dat aangepast. Bij veel bluetooth-verbindingen is de matige beveiliging geen probleem, maar het verkeer tussen een Android-smartphone en een Android Wear-wearable kan gevoelige gegevens bevatten. Google heeft er blijkbaar niet voor gekozen een extra beveiligingslaag toe te voegen.

Door Arnoud Wokke

Redacteur mobile

11-12-2014 • 13:40

45 Linkedin Google+

Submitter: player-x

Reacties (45)

Wijzig sortering
Daarom zou ik ''vul in bekent figuur'' ook aanraden een smartwatch te vermijden.
Nee het is belachelijk dat naast die 6 cijferige pin het paren, geen veel sterkere encryptie word gebruikt voor communicatie.

En de pin echt alleen als password voor het paren van apparaten

Dat is echt niet zo moeilijk hoor, het is gewoon luiigheid van de Google's coders, dat die veiligheid niet op de eerste plaats hadden staan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Raspberry Pi 3

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True