'Smartwatches kwetsbaar voor cybercriminielen'

Sterke wachtwoorden en niet te snel koppelen

HP adviseert gebruikers op basis van het onderzoek om een smartwatch niet te gebruiken voor het openen van huizen en auto’s, ´tenzij een sterke autorisatie wordt aangeboden.´ Verder adviseert het bedrijf altijd de password-functie in te stellen, sterke wachtwoorden te gebruiken en te zorgen voor zoveel mogelijk ‘two-factor’ authenticatie. Verder moeten bezitters van smartwatches geen verzoeken van onbekende apparaten of applicaties toestaan die willen koppelen met de smartwatch. “Doe bij twijfel onderzoek naar de afzender”, adviseert HP.

Deze maatregelen zijn niet alleen belangrijk om persoonlijke data te beschermen, maar ook wanneer gebruikers smartwatches gebruiken op het werk en het slimme horloge willen verbinden met het bedrijfsnetwerk. Meer richtlijnen voor een veilige smartwatch zijn in het rapport te vinden.

De meest voorkomende problemen

Iedere geteste smartwatch was gekoppeld aan een mobiele interface zonder ‘two-factor’ authenticatie. Ook wordt de toegang niet geblokkeerd na 3 tot 5 verkeerde pogingen. Drie van de tien smartwatches zijn kwetsbaar voor ‘account harvesting’.

Verder moet volgens HP transportencryptie verbeterd worden bij de meeste smartwatches. Dit is belangrijk omdat persoonlijke informatie wordt geplaatst op meerdere locaties in de cloud. Alle geteste producten gebruiken SSL/TLS als transportencryptie, 40 procent van de cloudverbindingen is kwetsbaar voor de POODLE attack, gebruikt zwakke encryptie of gebruikt nog steeds SSL v2.

Enumeratieproblemen

Zo’n 30 procent van de geteste smartwatches gebruikt cloudgebaseerde web interfaces. Deze tonen allemaal account-enumeratieproblemen. Via deze kwetsbaarheden kunnen hackers gebruikersaccounts identificeren dankzij de ontvangen gegevens via reset password-mechanismes. Verder heeft 70 procent van de smartwatches problemen met de beveiliging van firmware-updates. Dit gaat om firmware-updates zonder encryptie en zonder dat updatebestanden worden gecodeerd.

Tot slot zijn er privacyproblemen: alle smartwatches verzamelen persoonlijke informatie, zoals naam, adres, geboortedatum, gewicht, geslacht, hartslag en andere medische informatie. Door de account-enumeratieproblemen en het gebruik van zwakke wachtwoorden op sommige producten, is de blootstelling van deze informatie nabij, vreest HP.

Volgens de onderzoekers werken de fabrikanten momenteel nog aan het dichten van de lekken die bij de studie zijn aangetroffen.