De Apple Watch komt eraan en luidt volgens vele experts de doorbraak van wearables in. Deze smart devices worden steeds slimmer, maar zijn tegelijkertijd niet altijd zo slim wat security betreft. De databuit van wearables is groot.
Voor de meeste mensen zijn wearables nu nog vrij ‘dom’. Het zijn fitnessmeters zoals de Nike Fuel Band, de activiteitstrackers van Fitbit en de Up-armbanden van Jawbone. De diverse fabrikanten van deze vroege wearables zijn gefocust op fitness, functionaliteit, mode en andere klantgerichte zaken. Ze hebben daardoor veel minder – of zelfs geen – oog voor de beveiliging van die datavergaarders.
Ongemerkt verbonden
De onveiligheid van wearables is geen theoretisch geval en geen vroege waarschuwing voordat-het-te-laat is. Het is nu al zo ver. Onze senior malware-analist Roman Unuchek ontdekte bijvoorbeeld onlangs dat hij per ongeluk verbinding had met een wearable die hij niet eens bezit. Nadat hij een fitnessarmband had aangeschaft, installeerde hij de Android Wear-app om zijn smartphone eraan te koppelen. De app maakte meteen verbinding, met een Nike+ Fuel Band SE. Maar zijn armband was van een heel ander merk.
Het duurde niet lang voordat Roman doorhad dat een van zijn collega’s de bewuste Nike-wearable had en dat die drager onwetend verbonden was met Romans smartphone. De meeste wearables gebruiken Bluetooth LE voor de koppeling met een smartphone en vragen over het algemeen geen wachtwoord of sleutelcode. Waarom? Simpelweg vanwege een functionele beperking: de meeste wearables hebben geen scherm of toetsenbord om wachtwoorden weer te geven of in te voeren.
In de metro, de sportschool en een securitycongres
Roman besloot de zaak van de blind verbindende wearables verder uit te zoeken. Daar had hij geen aparte tools voor nodig. De standaard ontwikkelkit (SDK) voor Android volstaat om primitieve scans uit te voeren naar wearables. Roman wist met weinig moeite een eigen app te ontwikkelen die zoekt naar Bluetooth LE-apparaten om daar vervolgens automatisch verbinding mee te maken. Daarmee ging hij op pad: in de metro, de sportschool en een conferentie voor security-onderzoekers en -analisten.
Ter geruststelling: de wearables-scanner van Roman ontdekte dat de maximale verbindingsafstand van 50 meter een theoretisch maximum is. In de praktijk kon hij maar zelden verbindingen leggen op meer dan 6 meter afstand. In de metro of sportschool geeft dat echter al een flink bereik. Tweede geruststelling: het leek erop dat wearables alleen zijn te ‘kapen’ als ze nog niet verbonden zijn met de smartphone van hun eigenaar. Die verbinding valt echter te verstoren, waarna alsnog ‘kaping’ kan plaatsvinden.
Trillen voor toegang
Voor volledige dataplundering van wearables is vaak nog wel authenticatie nodig. De fitness-armband van Roman vereist daarvoor dat de gebruiker een knop indrukt, in reactie op een vibratiemelding van die wearable. Normaliter neemt het hiervoor benodigde authenticatieproces zo’n 15 seconden in beslag, maar Roman ontwikkelde een app die de gebruiker binnen 4 seconden een trilling kan geven. Of zelfs vaker, bijvoorbeeld elke 4 seconden, om de drager sneller zover te krijgen dat hij de knop indrukt.
Zodra de authenticatie is verricht, zijn alle data van de wearables uit te lezen. Op dit moment bevatten fitness-trackers nog niet zoveel informatie. Het aantal gelopen stappen, de fases van de nachtrust, de polsslag van het afgelopen uur. Maar naarmate wearables slimmer worden, wat in de toekomst ongetwijfeld staat te gebeuren, neemt ook de hoeveelheid data toe die ze bevatten.
Wees slimmer dan je wearables #KasperskyLab
Tweet
Security is geen UX-bug
Vanzelfsprekend hebben we deze bevindingen direct gemeld aan de maker van Romans fitness-armband. Die heeft de melding gedefinieerd als een bug in de user interface, niet als een securitykwestie. Uit ethische en beveiligingsoverwegingen onthullen we de fabrikant en het model van deze hackbare wearable niet. Maar als je je zorgen maakt over jouw wearable, neem dan zeker contact op met de fabrikant. Hopelijk kan meer kritische aandacht zorgen voor slimmere wearables, ook op het vlak van security.