Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Notificaties op Android Wear zijn versleuteld met eenvoudig te kraken pincode

De versleutelde communicatie tussen een Android-telefoon en een smartwatch met Android Wear is beveiligd met een pincode van slechts zes cijfers. Dat claimt een beveiligingsbedrijf. Wie de zescijferige pincode kraakt, kan notificaties van gebruikers onderscheppen.

Met gekraakte pincodes kan onderschept verkeer ontsleuteld worden en zijn berichten uit te lezen, stelt een beveiligingsonderzoeker van BitDefender. Het kraken van de pincode zou niet moeilijk zijn: omdat het zes cijfers zijn, zijn er maximaal een miljoen mogelijkheden. Met een brute force-aanval van opensourcetools is die code makkelijk te achterhalen.

Over de bluetooth-verbinding stuurt de telefoon notificaties door, zoals chatberichten, mails, sms'jes en binnenkomende telefoontjes. Om het verkeer te onderscheppen moet de aanvaller wel dicht bij de gebruiker in de buurt zijn, zodat de bluetooth-verbinding in zicht is. De onderzoeker gebruikte een Nexus 4 met Android L Preview en een Samsung Gear Live-smartwatch met Android Wear.

Huidige smartwatches en telefoons leggen verbinding via bluetooth 4.0 en 4.1, versies waarin de stuurgroep Bluetooth SIG een zwakkere beveiliging in heeft gezet dan in oudere bluetooth-versies, omdat het niet op tijd te implementeren bleek. In versie 4.2 is dat aangepast. Bij veel bluetooth-verbindingen is de matige beveiliging geen probleem, maar het verkeer tussen een Android-smartphone en een Android Wear-wearable kan gevoelige gegevens bevatten. Google heeft er blijkbaar niet voor gekozen een extra beveiligingslaag toe te voegen.

Door Arnoud Wokke

Redacteur mobile

11-12-2014 • 13:40

45 Linkedin Google+

Submitter: player-x

Reacties (45)

Wijzig sortering
Waar mensen zich allemaal druk om kunnen maken, als ik een smartwatch zou hebben, zou ik echt geen seconden hier bij nadenken en gewoon verder gaan met mijn leven

Hierbij zeg ik niet dat dit een goeie zaak, in tegendeel, maar het valt me vaak op

Als je echt zo erg op je privacy gesteld bent, koop dat geen smartphone of iets dergelijks!
Gewoon lekker plezier ervan hebben gun ik iedereen. Ben zelf gek op gadgets en ik kies ook eerder voor gemak dan voor privacy. Ben blij dat er organisaties zijn die zich professioneel bezig houden met burgerrechten (in NL ondermeer Bits of Freedom). En daar doneer ik dan ook aan. Je er druk om maken hoeft van mij helemaal niet, maar die ene seconde eraan denken is wel gezond denk ik. Maar die heb je allang gehad door het lezen van dit artikel ;) Wij hebben wel een luxe positie wat dat betreft, gelukkig geen ruzie met de overheid etc

[Reactie gewijzigd door jannn9 op 11 december 2014 19:13]

Ben ik helemaal met je eens. Dit zijn zulke uitzonderlijke situaties en dan ook nog eens om vaak nutteloze informatie (whatsappjes en facebook?) dat het een non issue is.

Ik verwacht niet dat het loont voor een hacker om hier tijd geld en moeite in te stoppen.
Naast het café zijn er talloze andere locaties waar dit gemakkelijk toegepast kan worden. Ik zelf heb zojuist twee uur in de trein gezeten met mijn Wear device gekoppeld, verschillende mailtjes gehad en veel anderen gezien met laptops.

Dit is slechts één van vele situaties waarin een 'kwaadaardige' serieus plausible mogelijkheden tot zijn beschikking heeft om deze informatie te onderscheppen. Iedereen met een beetje creativiteit kan hier nog wel meer situaties over verzinnen. Met de toename van de hoeveelheid aan Wear devices zou ik dit niet al te licht nemen.
Omdat dat, zoals alles, tijd kost. Soms moet je afwegingen maken. In dit geval vind ik dat ze de goede beslissing hebben genomen.
Staat letterlijk in het artikel:
Huidige smartwatches en telefoons leggen verbinding via bluetooth 4.0 en 4.1, versies waarin de stuurgroep Bluetooth SIG een zwakkere beveiliging in heeft gezet dan in oudere bluetooth-versies, omdat het niet op tijd te implementeren bleek

[Reactie gewijzigd door [Yellow] op 11 december 2014 15:28]

Interessant maar hoeveel tijd en kracht kost een brute force van 1 code? Alles is mogelijk te kraken, het gaat er om hoeveel tijd en kracht het kost in verhouding tot hetgeen er mee gewonnen kan worden.
Dus je zou notificaties kunnen onderscheppen? Maar zou je dan niet ook het apparaat kunnen pairen en gebruik maken van veel meer? Wellicht zelfs een firmware update uitvoeren oid...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True