De security-divisie van HP, genaamd HP Fortify, heeft onderzoek gedaan naar de beveiliging van smartwatches. Hiervoor hebben ze de top 10 smartwatches vanuit het perspectief van een potentiële aanvaller getest op onder meer gebruikersauthenticatie, transport- en update-encryptie. Welke specifieke modellen getest zijn is niet bekendgemaakt, al is wel bekend dat er op iOS en Android getest is.
Volgens het onderzoek zijn smartwatches buitengewoon kwetsbaar voor cyberaanvallen te noemen. Zo was geen enkel horloge was te koppelen met een telefoon middels two-factor authenticatie. Nu klinkt dat nog niet zo ernstig, maar er is ook geen limiet aan inlogpogingen en daarnaast wordt duidelijk weergegeven of de gebruikersnaam of het wachtwoord incorrect is. Deze feiten gecombineerd met een zwak wachtwoord maken het gemakkelijk om in te breken. Bij drie van de tien was deze 'account-harvesting' kwetsbaarheid aanwezig.
Verder is gebleken dat overal SSL- of TLS-encryptie gebruikt wordt voor binnenkomende of uitgaande data. Toch blijkt dat 40% van de verbindingen kwetsbaar is voor een zogenaamde POODLE-attack, zwakke encryptie gebruiken of nog steeds met SSL v2 werken.
Daarnaast haalde het bedrijf ook nog aan dat hoewel fabrikanten zich met firmware-updates inspannen om besmette bestanden te weren, bij 70 procent tijdens een update geen beveiliging op de bestanden zit, waardoor data alsnog gedownload of bekeken kan worden.
Als laatste waren er nog kleine problemen, zoals twee modellen die na diefstal gewoon aan een andere telefoon gekoppeld kunnen worden. Ook heeft de helft simpelweg geen functie om de watch te vergrendelen.
Er wordt geconcludeerd:
"Our research shows that these wearables present a risk that goes beyond the device. The number of places that data are being sent during the standard use of a given application increases the number of access points. Whether using a health application, financial, or even gaming application, HP was able to intercept and detect the sensitive data being routed to multiple locations on the Internet.
This is often legitimate traffic destined for the authorized backend server, but in many cases the number of destinations is substantial, and it is worth questioning whether that many destinations are fully transparent to all parties involved, including the vendor who created the application and the consumer who will use it."
Smartwatches zijn volgens HP erg kwetsbaar voor cyberaanvallen.
Bron: HP
