Android Wear: Bluetooth-Verbindung kann ausgespäht werden

Mit Hilfe frei verfügbarer Brute-Force-Tools lässt sich der sechsstellige Pairing-Code der Bluetooth-Verbindung zwischen Android-Smartphone und Android-Wear-Smartwatch knacken und etwa eine Hangouts-Nachricht im Klartext abfangen. Die Eingabe eines Passworts statt einer PIN würde die Sicherheit erhöhen.

Laut dem Sicherheitsunternehmen Bitdefender ist die Bluetooth-Verbindung zwischen einer Smartwatch mit Googles Android-Wear als Betriebssystem und einem Android-Smartphone anfällig für sogenannte Brute-Force-Angriffe. Dadurch ist es mit absehbarem Aufwand möglich, die Kommunikation zwischen Smartwatch und Smartphone abzufangen und mitzulesen, wie Bitdefender in seinem Blog HotforSecurity schreibt.

Android Wear (Screenshot: CNET).

Mit Hilfe frei verfügbarer Brute-Force-Tools lässt sich der sechsstellige Pairing-Code der Bluetooth-Verbindung zwischen Android-Smartphone und Android-Wear-Smartwatch knacken und etwa eine Hangouts-Nachricht im Klartext abfangen. Die Eingabe eines Passworts statt einer PIN würde die Sicherheit erhöhen (Screenshot: CNET).

Die Schwachstelle ist der Pairing-Code, der die Bluetooth-Verbindung schützt. Er besteht aus sechs Ziffern und bietet daher nur eine Million unterschiedliche Kombinationsmöglichkeiten. Mit Hilfe frei verfügbarer Brute-Force-Tools, die nacheinander alle möglichen Schlüssel durchprobieren, bis der richtige gefunden ist, hat Bitdefender laut eigenen Aussagen den Code leicht knacken und eine Hangouts-Nachricht im Klartext auslesen können. Den Angriff führt Bitdefender auch in einem Video mit einer LG G Watch und einem Nexus 4 mit der Android L Developer Preview vor. Wie lange es dauerte, den Pairing-Code zu „erraten“, wird allerdings nicht erwähnt.

Die Verschlüsselung der Bluetooth-Verbindung erfolge durch den Baseband-Co-Prozessor, der in den meisten Android-Geräten verbaut sei, so Bitdefender weiter. Schon früher hätten Forscher demonstriert, dass gerade dieser Baseband-Co-Prozessor anfällig für Manipulationen per Over-the-Air-Updates sei.

Ars Technica weist darauf hin, dass schon länger bekannt ist, dass Bluetooth-Verbindungen mit einem sechsstelligen und damit leicht zu knackenden Code geschützt sind. “Die Ergebnisse sind trotzdem wichtig, weil sie zu einem wichtigen Zeitpunkt kommen”, heißt es in dem Blog”. Durch die zunehmende Verbreitung von Smartwatches und anderen Wearables würden immer mehr vertrauliche Daten per Bluetooth verschickt. “Hersteller von Smart-Devices wären gut beraten, sicherere Kommunikationskanäle zu schaffen, bevor sie zu Alltagsgegenständen werden.”

Die einfachste Möglichkeit, die Sicherheit zu verbessern, wäre die Eingabe eines Passworts statt einer PIN. Für bequeme Tastatureingaben sind allerdings die Displays von Smartwatches zu klein. Laut Ars Technica wäre es auch möglich, die PIN per NFC zu übertragen, was aber den Preis und die Komplexität der Geräte erhöhe. Eine weitere Alternative sei die Implementierung einer zweiten Verschlüsselungsschicht durch die Anwendungen, die auf Smartphone und Smartwatch laufen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

HIGHLIGHT

CNET.de-Weihnachtsgewinnspiel 2014 – mitmachen und gewinnen!

AdventskalenderHinter unserem Adventskalender verstecken sich auch dieses Jahr wieder vom 1. bis zum 24. Dezember jede Menge attraktive Gewinne. Jeden Tag werden die Preise unter allen Teilnehmern verlost, die sich für diesen Tag von 00:00 Uhr bis 23:59 für die Gewinne hinter dem jeweils passenden Türchen registriert haben.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Android Wear: Bluetooth-Verbindung kann ausgespäht werden

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *