Smartwatches mit Android Wear (Bild: Google)
Forscher des Sicherheitsanbieters Bitdefender haben eine Möglichkeit gefunden, die Kommunikation zwischen einer Smartwatch mit Android Wear und einem Android-Smartphone abzuhören. Ihnen zufolge ist die Bluetooth-Verbindung zwischen beiden Geräten anfällig für Brute-Force-Angriffe. Das Problem ist demnach, dass die Verbindung lediglich mit einem sechsstelligen PIN-Code gesichert ist, der eben nur eine Million Kombinationen bietet.
Ihren Angriff auf eine Smartwatch vom Typ Samsung Gear Live, die mit einem Google Nexus 4 mit der Developer Preview von Android 5 Lollipop verbunden ist, zeigen die Forscher in einem Video. Die Verbindung haben sie nach eigenen Angaben mit frei verfügbaren Hacking-Tools geknackt. Danach sei es möglich, die Kommunikation zwischen beiden Geräten im Klartext mitzulesen.
Die Verschlüsselung der Bluetooth-Verbindung erfolge durch den Baseband-Co-Prozessor, der in den meisten Android-Geräten verbaut sei, so Bitdefender weiter. Schon früher hätten Forscher demonstriert, dass gerade dieser Baseband-Co-Prozessor anfällig für Manipulationen per Over-the-Air-Updates sei.
Ars Technica weist darauf hin, dass schon länger bekannt ist, dass Bluetooth-Verbindungen mit einem sechsstelligen und damit leicht zu knackenden Code geschützt sind. „Die Ergebnisse sind trotzdem wichtig, weil sie zu einem wichtigen Zeitpunkt kommen“, heißt es in dem Blog“ Durch die zunehmende Verbreitung von Smartwatches und anderen Wearables würden immer mehr vertrauliche Daten per Bluetooth verschickt. „Hersteller von Smart-Devices wären gut beraten, sicherere Kommunikationskanäle zu schaffen, bevor sie zu Alltagsgegenständen werden.“
Die einfachste Möglichkeit, die Sicherheit zu verbessern, wäre die Eingabe eines Passworts statt einer PIN. Für bequeme Tastatureingaben sind allerdings die Displays von Smartwatches zu klein. Laut Ars Technica wäre es auch möglich, die PIN per NFC zu übertragen, was aber den Preis und die Komplexität der Geräte erhöhe. Eine weitere Alternative sei die Implementierung einer zweiten Verschlüsselungsschicht durch die Anwendungen, die auf Smartphone und Smartwatch laufen.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
