15.12.2014, 11:10
[Aby zobaczyć linki, zarejestruj się tutaj]
Analiza i raport na jej temat sporządzony przez badaczy Bitdefender nie pozostawia złudzeń...mimo zabezpieczenia kodem PIN sesji wymiany danych między smartfonem a smartwatchem da się, i to dość prosto, przechwycić te dane. badacze opublikowali też film obrazujący tę metodę ataku. Całość opisał zgrabnie Niebezpiecznik i stamtąd cytat
Cytat:Jak się okazuje, połączenie BlueTooth które wykorzystywane jest do transportu informacji pomiędzy zegarkiem a telefonem w przypadku analizowanego przez badaczy Samsunga Gear Live sparowanego z Google Nexusem 4 pracującym pod kontrolą Androida L Preview, zabezpieczone jest podczas jego zestawiania zwykłym kodem PIN o 6 cyfrach. Daje to około miliona kombinacji, a więc umożliwia przeprowadzenie dość szybkiego ataku brute force (odpowiednie oprogramowanie za darmo jest dostępne w internecie), o ile atakujący podsłucha proces parowania.
(...)
Informacje które można wykraść za pomocą ataku na połączenie BlueTooth to np.:
wiadomości sms
kontakty
wpisy w kalendarzu
dane biometryczne
dane aplikacji Facebook
Inteligentne urządzenia…
Na chwilę obecną brak jest konkretnych rozwiązań tego problemu i powiązanie telefonu z zegarkiem pozostaje ryzykowne. Być może kolejne wersje aplikacji obsługujących zegarki zaimplementują dodatkową warstwę szyfrowania? Pocieszeniem dla maniaków gadżetów jest jednak to, że aby przechwycić komunikację, należy znaleźć się w zasięgu wysyłanego sygnału Bluetooth, który z reguły wymaga zbliżenia się do ofiary na ok. 10 metrów.
[Aby zobaczyć linki, zarejestruj się tutaj]
Oczywiście żeby taki atak miał miejsce i żeby był skuteczny, muszą być spełnione warunki czyli wspomniana bliskość...to jednak może być o tyle łatwiejsze, że takie urządzenia stają się coraz bardziej popularne (wśród pewnych kręgów społeczeństwa niemal wymagane:crazy: ), a miejsca w których takie osoby się zbierają w większych grupach nie są jakoś odosobnione (np. kluby fitness, imprezy masowe, bary). Taki splot okoliczności sprzyja więc podejmowaniu ataków nie tylko na pojedyncze urządzenia, ale również na szerszą skalę (o ile atakujący jest przygotowany).
Artykuł macierzysty na blogu BD
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"