Naar inhoud

Smartwatches nog te kwetsbaar voor dagelijks gebruik

Met de weloverwogen lancering van de Apple Watch lijken de smartwatches een onderdeel van het dagelijkse leven te worden. Het internet der dingen krijgt met de slimme horloge steeds meer vorm. Deze nieuwe vorm van functionaliteit biedt talloze mogelijkheden voor gebruik als toegangsverlener tot fysieke objecten en digitale bestanden. Maar de smartwatches zijn vooralsnog bijzonder gevoelig voor cyberaanvallen. Dit is een kwetsbaarheid die niet onderschat mag worden. De moderne autodief gebruikt tenslotte ook geen koevoet meer om een auto te stelen.

Aanzienlijke kwetsbaarheden

Onderzoek van technologieconcern Hewlett-Packard (HP) toont aan dat smartwatches met een netwerk- en communicatiefunctie zeer gevoelig zijn voor cyberaanvallen. Volgens de studie bevatten alle geteste smartwatches aanzienlijke kwetsbaarheden. De kwetsbaarheden bestaan onder andere uit onvoldoende authenticatie, gebrek aan encryptie en privacyproblemen. In het rapport worden concrete aanbevelingen gegeven voor veilig gebruik van de smartwatch, zowel thuis als op het werk. Zo wordt gebruikers geadviseerd om een smartwatch niet te gebruiken voor het openen van bijvoorbeeld huizen en auto’s, tenzij een sterke autorisatie wordt aangeboden.

Beveiligingsadviezen

Fabrikanten werken ondertussen aan het toevoegen van de nodige beveiligingsmaatregelen in de moderne horloges. Consumenten worden aangespoord om de beveiliging goed te overwegen voor het gebruik van de smartwatch. Aan gebruikers wordt geadviseerd de volgende maatregelen te nemen:

Gebruik een smartwatch niet voor het openen van huizen, auto’s of dergelijke, tenzij een sterke autorisatie wordt aangeboden.

Om het hackers preventief lastig te maken is het nodig om te allen tijden een password-functie in te stellen, sterke wachtwoorden te gebruiken en te zorgen voor zoveel mogelijk zogeheten two-factor authenticatie.

Sta geen verzoeken van onbekende apparaten en applicaties toe voor koppeling met je smartwatch. Doe bij twijfel onderzoek naar de afzender.

Deze maatregelen zijn niet alleen belangrijk om persoonlijke data te beschermen, maar zijn al helemaal belangrijk wanneer je smartwatches gebruikt op het werk en verbindt met het bedrijfsnetwerk.

Misbruik toegankelijkheid

Smartwatches beginnen een onderdeel van ons leven te worden. Maar deze nieuwe vorm van functionaliteit vormt een bedreiging voor gevoelige informatie en activiteiten”, aldus Jason Schmitt, general manager HP Security, Fortify. “Als de adaptie van smartwatches versnelt, wordt het platform enorm aantrekkelijk voor mensen die de toegankelijkheid willen misbruiken. Daarom is het belangrijk om voorzorgsmaatregelen te nemen als we persoonlijke data zenden of de smartwatch verbinden met bedrijfsnetwerken.”

Beveiligingsproblemen

Het onderzoek is gericht op de vraag of smartwatches gevoelige data voldoende op kunnen slaan en beveiligen. De studie heeft talrijke beveiligingsproblemen blootgelegd. De meest voorkomende en herkenbare beveiligingsproblemen zijn volgens het rapport:

Onvoldoende gebruikersauthenticatie en gebruikersautorisatie: Iedere geteste smartwatch was gekoppeld aan een mobiele interface zonder two-factor authenticatie. Two-factor authenticatie is wanneer je twee afzonderlijke gegevens nodig hebt om in te loggen. Ook wordt de toegang niet geblokkeerd na drie tot tien verkeerde pogingen. Drie op de tien horloges zijn kwetsbaar voor account harvesting, wat betekent dat een aanvaller toegang tot een device en data krijgt door een combinatie van een zwak wachtwoord, geen blokkering en user enumeration. Bij user enumeration krijgt de hacker bij een mislukte poging direct te zien of dit aan de gebruikersnaam of aan het wachtwoord ligt.

Gebrek aan transportencryptie: Transportencryptie is belangrijk omdat persoonlijke informatie wordt geplaatst op meerdere locaties in de cloud. Alle geteste producten gebruiken SSL/TLS als transportencryptie, 40 procent van de cloudverbindingen zijn kwetsbaar voor de POODLE attack, gebruiken zwakke encryptie of gebruiken nog steeds SSL v2.

Onveilige interfaces: 30 procent van de geteste smartwatches gebruikt cloudgebaseerde web-interfaces. Deze tonen allemaal problemen met account enumeratie. Uit een aparte test blijkt dat ook bij mobiele applicaties in 30 procent van de gevallen problemen met enumeratie ontstaan. Via deze kwetsbaarheden kunnen hackers gebruikersaccounts identificeren dankzij de ontvangen gegevens via mechanismes met reset password.

Onveilige software en firmware: 70 procent van de smartwatches heeft problemen met de beveiliging van firmware updates. Dit gaat om firmware updates zonder encryptie en zonder dat updatebestanden worden gecodeerd. Hoewel veel updates helpen met het voorkomen van de installatie van besmette firmware, zorgt een gebrek aan encryptie ervoor dat bestanden alsnog gedownload en geanalyseerd worden.

Privacyproblemen: Alle smartwatches verzamelen persoonlijke informatie, zoals naam, adres, geboortedatum, gewicht, geslacht, hartslag en andere medische informatie. Door de problemen met account enumeratie en het gebruik van zwakke wachtwoorden op sommige producten, is de blootstelling van deze informatie nabij.

Het rapport “Internet of Things Security Study: Smartwatches” kun je downloaden op de website van HP.

0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie