Smartwatch kwetsbaar voor cybercriminelen

Door gebrekkige beveiliging zijn smartwatches kwetsbaar voor aanvallen van cybercriminelen. Dat concludeert ict-leverancier HP na onderzoek. Het vond beveiligingslekken in alle geteste smartwatches en geeft richtlijnen voor veilig gebruik.

Na de smartphone en tablet doet ook de smartwatch zijn intrede op de werkvloer. Gebruikers krijgen via het aan internet gekoppelde horloge bijvoorbeeld pushberichten over nieuwe mails of een herinnering voor een vergadering. Handig, maar het vormt ook een bedrijfsrisico. Na smartphones en tablets is de smartwatch het volgende apparaat in de keten van Internet of Things waar criminelen hun pijlen op richten.

Onderzoek van ict-leverancier HP toont aan dat smartwatches met een netwerk- en communicatiefunctie zeer gevoelig zijn voor cyberaanvallen. Volgens het onderzoek, uitgevoerd door HP Fortify – de security divisie van HP – bevatten alle tien geteste smartwatches aanzienlijke kwetsbaarheden.

Koppeling met bedrijfsnetwerken

Jason Schmitt, general manager HP Security, Fortify: ‘Smartwatches beginnen een onderdeel van ons leven te worden. Maar deze nieuwe vorm van functionaliteit vormt een bedreiging voor gevoelige informatie en activiteiten.’

‘Als het gebruik van smartwatches versnelt, wordt het platform enorm aantrekkelijk voor mensen die de toegankelijkheid willen misbruiken. Daarom is het belangrijk om voorzorgsmaatregelen te nemen als we persoonlijke data zenden of de smartwatch verbinden met bedrijfsnetwerken.’

Beveiligingsproblemen

Het onderzoek is gericht op de vraag of smartwatches (gevoelige) data voldoende op kunnen slaan en beveiligen. Het onderzoek heeft meerdere beveiligingsproblemen blootgelegd. De vijf meest voorkomende en herkenbare beveiligingsproblemen zijn:

  1. Onvoldoende gebruikersauthenticatie/-autorisatie: Iedere geteste smartwatch was gekoppeld aan een mobiele interface  zonder ‘two-factor’ authenticatie. ‘Two-factor’ authenticatie is wanneer je twee afzonderlijke gegevens nodig hebt om in te loggen. Ook wordt de toegang niet geblokkeerd na 3 tot 5 verkeerde pogingen.3 op de tien zijn kwetsbaar voor ‘account harvesting’, wat betekent dat een aanvaller toegang tot een device en data krijgt door een combinatie van een zwak wachtwoord, geen blokkering en ‘user enumeration’. Bij user enumeration krijgt de hacker bij een mislukte poging direct te zien of dit aan de gebruikersnaam of aan het wachtwoord ligt.
  2. Gebrek aan transport encryptie: Transport encryptie is belangrijk omdat persoonlijke informatie wordt geplaatst op meerdere locaties in de cloud. Alle geteste producten gebruiken SSL/TLS als transport encryptie, 40 procent van de cloudverbindingen zijn kwetsbaar voor de POODLE attack, gebruiken zwakke encryptie of gebruiken nog steeds SSL v2.
  3. Onveilige interfaces: 30 procent van de geteste smartwatches gebruikt cloudgebaseerde web interfaces. Deze tonen allemaal account enumeratieproblemen. Uit een aparte test blijkt dat ook bij mobiele applicaties enumeratieproblemen ontstaan, in 30 procent van de gevallen. Via deze kwetsbaarheden kunnen hackers gebruikersaccounts identificeren dankzij de ontvangen gegevens via reset password mechanismes.
  4. Onveilige software/firmware: 70 procent van de smartwatches heeft problemen met de beveiliging van firmware updates. Dit gaat om firmware updates zonder encryptie en zonder dat updatebestanden worden gecodeerd. Hoewel veel updates helpen met het voorkomen van de installatie van besmette firmware, zorgt een gebrek aan encryptie ervoor dat bestanden alsnog gedownload en geanalyseerd worden.
  5. Privacy problemen: Alle smartwatches verzamelen persoonlijke informatie, zoals naam, adres, geboortedatum, gewicht, geslacht, hartslag en andere medische informatie. Door de account enumeratieproblemen en het gebruik van zwakke wachtwoorden op sommige producten, is de blootstelling van deze informatie nabij.

Maatregelen

HP: ‘Fabrikanten werken aan het toevoegen van de nodige beveiligingsmaatregelen in smartwatches. Ondertussen worden consumenten aangespoord om de beveiliging goed te overwegen voor het gebruik van de smartwatch.’ Het bedrijf adviseert gebruikers de volgende maatregelen te nemen:

  • Gebruik een smartwatch niet voor het openen van huizen, auto’s of dergelijke, tenzij een sterke autorisatie wordt aangeboden.
  • Om het hackers preventief lastig te maken is het nodig om ten alle tijden een password functie in te stellen, sterke wachtwoorden te gebruiken en te zorgen voor zoveel mogelijk ‘two-factor’ authenticatie. Dat betekent bijvoorbeeld een wachtwoord in combinatie met een vingerafdruk.
  • Sta geen verzoeken van onbekende apparaten/applicaties toe die willen koppelen met je smartwatch. Doe bij twijfel onderzoek naar de afzender.

HP: ‘Deze maatregelen zijn niet alleen belangrijk om persoonlijke data te beschermen, maar zijn al helemaal belangrijk wanneer je smartwatches gebruikt op werk en verbindt met het bedrijfsnetwerk. Meer richtlijnen voor een veilige smartwatch zijn in het rapport te vinden.

Lees ook: