Draagbare apparaten zoals smartwatches of fitnesstrackers zijn vaak slecht beveiligd en daarmee zeer interessant voor cybercriminelen. Met bewegingsgevoelige software kunnen zelfs pincodes worden afgelezen bij geldautomaten.
Dit concluderen wetenschappers van de Binghamton University en het Stevens Institute of Technology uit een onderzoek onder 20 volwassenen gedurende elf maanden, aldus de website Science Daily.
Zo blijkt het mogelijk te zijn om een smartwatch of fitnesstracker te infecteren met malware die handbewegingen zo nauwkeurig signaleert, dat zelfs de pincode van de drager eruit afgeleid kan worden.
IJzingwekkend nauwkeurig
De onderzoekers rustten twintig volwassenen uit met ‘wearables’ zoals smartwatches en volgden de groep elf maanden lang.
Met een computeralgoritme slaagden de onderzoekers erin uit de handbewegingen van de proefpersonen hun pincodes en passwords af te leiden, als ze bijvoorbeeld geld pinden bij een automaat of een code intikten op een deurslot.
In 80 procent van de gevallen was de hack correct bij de eerste poging, en in méér dan 90 procent bij de derde poging. “Een reële dreiging”, zo noemt professor Yan Wang van de universiteit van Binghamton de bevindingen van zijn team. Volgens Wang kunnen hackers zich via het kraken van smartwatches en fitness-armbanden relatief eenvoudig toegang verschaffen tot pinautomaten, elektronisch vergrendelde deuren en servers.
Draadloos lekt data uit
Hackers komen op twee verschillende manieren aan hun data – via malware en sniffers. Bij een interne aanval krijgen hackers toegang tot bijvoorbeeld een smartwatch via malware die data over de handbewegingen van het slachtoffer terugstuurt naar de hacker. Die destilleert daar vervolgens pincodes en andere interessante cijferreeksen uit.
Een andere mogelijkheid is via een zogeheten sniffer, een draadloos apparaat dat het Bluetooth-dataverkeer tussen de smartwatch of fitnesstracker en de smartphone van het slachtoffer ‘afluistert’.
Wearables extra kwetsbaar
Draagbare apparaten zijn extra kwetsbaar voor hackers. Vanwege hun geringe omvang en computerkracht is er weinig ruimte voor robuuste veiligheidsmaatregelen.
De onderzoekers hebben vooralsnog geen oplossing voor het probleem, maar suggereren dat ontwikkelaars een zekere mate van ruis in de data zouden kunnen inbouwen, zodat data minder goed bruikbaar zijn om fijnmazige handbewegingen mee te detecteren. Ook stelt het team een betere versleuteling voor tussen het draagbare apparaat en het besturingssysteem.
Bron: Z24