Forscher des Sicherheitsanbieters Bitdefender haben eine Möglichkeit gefunden, die Kommunikation zwischen einer Smartwatch mit Android Wear und einem Android-Smartphone abzuhören. Ihnen zufolge ist die Bluetooth-Verbindung zwischen beiden Geräten anfällig für Brute-Force-Angriffe. Das Problem ist demnach, dass die Verbindung lediglich mit einem sechsstelligen PIN-Code gesichert ist, der eben nur eine Million Kombinationen bietet.
Ihren Angriff auf eine Smartwatch vom Typ Samsung Gear Live, die mit einem Google Nexus 4 mit der Developer Preview von Android 5 Lollipop verbunden ist, zeigen die Forscher in einem Video. Die Verbindung haben sie nach eigenen Angaben mit frei verfügbaren Hacking-Tools geknackt. Danach sei es möglich, die Kommunikation zwischen beiden Geräten im Klartext mitzulesen.
Die Verschlüsselung der Bluetooth-Verbindung erfolge durch den Baseband-Co-Prozessor, der in den meisten Android-Geräten verbaut sei, so Bitdefender weiter. Schon früher hätten Forscher demonstriert, dass gerade dieser Baseband-Co-Prozessor anfällig für Manipulationen per Over-the-Air-Updates sei.
Ars Technica weist darauf hin, dass schon länger bekannt ist, dass Bluetooth-Verbindungen mit einem sechsstelligen und damit leicht zu knackenden Code geschützt sind. „Die Ergebnisse sind trotzdem wichtig, weil sie zu einem wichtigen Zeitpunkt kommen“, heißt es in dem Blog“ Durch die zunehmende Verbreitung von Smartwatches und anderen Wearables würden immer mehr vertrauliche Daten per Bluetooth verschickt. „Hersteller von Smart-Devices wären gut beraten, sicherere Kommunikationskanäle zu schaffen, bevor sie zu Alltagsgegenständen werden.“
Die einfachste Möglichkeit, die Sicherheit zu verbessern, wäre die Eingabe eines Passworts statt einer PIN. Für bequeme Tastatureingaben sind allerdings die Displays von Smartwatches zu klein. Laut Ars Technica wäre es auch möglich, die PIN per NFC zu übertragen, was aber den Preis und die Komplexität der Geräte erhöhe. Eine weitere Alternative sei die Implementierung einer zweiten Verschlüsselungsschicht durch die Anwendungen, die auf Smartphone und Smartwatch laufen.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…