Zwakke beveiliging maakt smartwatches kwetsbaar voor cybercriminelen

27/07/15 om 10:43 - Bijgewerkt om 12:05

Bron: Datanews

Uit een onderzoek van HP moet blijken dat smartwatches erg gevoelig zijn voor cyberaanvallen. Onvoldoende authenticatie, gebrek aan encryptie en privacy-issues zijn de boosdoeners.

Zwakke beveiliging maakt smartwatches kwetsbaar voor cybercriminelen

© Smartwatches

Het onderzoek van HP ging na of smartwatches (gevoelige) data wel voldoende kunnen beveiligen. De studie heeft alvast talrijke beveiligingsproblemen blootgelegd, bij alle tien de geteste toestellen. De meest voorkomende problemen zetten we hieronder even op een rij.

  • Onvoldoende gebruikersauthenticatie/-autorisatie: Iedere geteste smartwatch was gekoppeld aan een mobiele interface zonder twee staps-authenticatie (bij twee staps-authenticatie heb je twee afzonderlijke gegevens nodig om in te kunnen loggen). Ook wordt de toegang niet geblokkeerd na 3 tot 5 verkeerde pogingen. 3 op de tien horloges zijn kwetsbaar voor 'account harvesting', wat betekent dat een aanvaller toegang tot een device en zijn data krijgt door een combinatie van een zwak wachtwoord, geen blokkering en 'user enumeration' (bij user enumeration kan een hacker na een mislukte poging onmiddellijk achterhalen of dit aan de gebruikersnaam of aan het wachtwoord ligt).
  • Gebrek aan transportencryptie: Transportencryptie is belangrijk omdat persoonlijke informatie op meerdere locaties in de cloud wordt gestockeerd. Alle geteste producten gebruiken SSL/TLS als transportencryptie, 40 procent van de cloudverbindingen zijn kwetsbaar voor de POODLE attack, gebruiken zwakke encryptie of gebruiken nog steeds SSL v2.
  • Onveilige interfaces: 30 procent van de geteste smartwatches gebruikt cloudgebaseerde webinterfaces. Deze vertonen allemaal account enumeratieproblemen. Uit een aparte test blijkt dat ook bij mobiele applicaties enumeratieproblemen ontstaan, in 30 procent van de gevallen. Via deze kwetsbaarheden kunnen hackers gebruikersaccounts identificeren dankzij de ontvangen gegevens via zogeheten 'reset password'-mechanismes.
  • Onveilige software/firmware: 70 procent van de smartwatches heeft problemen met de beveiliging van firmware-updates. Het gaat om firmware updates zonder encryptie en zonder dat updatebestanden worden gecodeerd. Hoewel heel wat updates helpen met het voorkomen van de installatie van besmette firmware, zorgt een gebrek aan encryptie ervoor dat bestanden alsnog gedownload en geanalyseerd worden.
  • Privacyproblemen: Alle smartwatches verzamelen persoonlijke informatie, zoals naam, adres, geboortedatum, gewicht, geslacht, hartslag en andere medische informatie. Door de enumeratieproblemen en het gebruik van zwakke wachtwoorden op sommige producten, is de blootstelling van deze data een reëel risico.

In het rapport biedt HP enkele concrete aanbevelingen voor het veilig gebruik van een smartwatch, zowel thuis als op het werk.

  • Gebruik een smartwatch niet voor het openen van huizen, auto's of dergelijke, tenzij een sterke autorisatie wordt aangeboden.
  • Om het hackers preventief lastig te maken is het nodig om ten alle tijden een passwoord in te stellen, sterke wachtwoorden te gebruiken en te zorgen voor zoveel mogelijk twee staps-authenticatie.
  • Sta geen verzoeken van onbekende apparaten/applicaties toe die willen koppelen met je smartwatch. Doe bij twijfel onderzoek naar de afzender.

Deze maatregelen zijn niet alleen belangrijk om persoonlijke data te beschermen, maar vooral wanneer smartwatches gebruikt worden op het werk, en verbonden worden met het bedrijfsnetwerk.

Het onderzoek van HP is onderdeel van een lopend onderzoek naar Internet of Things (IoT) beveiliging. Het technologiebedrijf onderzocht 10 smartwatches, hun Android én iOS cloud, en enkele mobiele applicaties.

Onze partners