Hack des données entre smartwatch et smartphone

Le par  |  9 commentaire(s)
Samsung Gear Live

Les données transmises entre une smartwatch et un smartphone sont susceptibles d'être piratées par force brute. Bitdefender propose une preuve de concept avec la Galaxy Gear Live de Samsung et un Nexus 4.

Via une preuve de concept, Bitdefender expose une faiblesse dans l'échange de données entre une smartwatch et un smartphone. En l'occurrence, la démonstration d'une attaque par force brute a lieu avec la Samsung Galaxy Gear Live associée à un smartphone Nexus 4 fonctionnant avec la préversion d'Android L (qui est devenu Android 5.0 alias Lollipop).

Elle permet de lire en clair des données communiquées entre les deux appareils. Des messages, des données biométriques et potentiellement d'autres données sensibles sont ainsi sous la menace d'une compromission.

Les chercheurs de Bitdefender disent avoir eu recours à des outils open source et un peu d'ingéniosité pour parvenir à leurs fins mais ne sont finalement pas étonnés par leur découverte. Le cœur du problème est au niveau de la communication Bluetooth.

Sa protection - son obfuscation - repose sur un code à six chiffres qui est demandé lors de l'appairage initial. Avec seulement un million de combinaisons possibles, c'est presque du pain béni pour un attaquant entêté qui procède par force brute. Cela suppose toutefois qu'il soit suffisamment proche de sa victime et qu'il analyse tout le trafic brut.

  

Rien de rédhibitoire, Bitdefender a déjà des parades à l'esprit. La plus simple est la saisie d'un mot de passe avant un appairage, quoique cela pourrait susciter la frustration de l'utilisateur. Une autre piste est de s'appuyer sur la technologie NFC pour transmettre un code PIN à une smartwatch lors de l'appairage, mais l'implémentation ne serait pas sans effet sur la douloureuse.

Bitdefender évoque enfin l'ajout d'une seconde couche de chiffrement par une application afin de renforcer celle Bluetooth avec l'inconvénient que cela aurait une incidence négative sur l'autonomie de la batterie.

La preuve de concept a surtout le mérite de rappeler que la sécurité n'est pas à négliger dans un secteur amené à prendre de l'ampleur comme celui de l'Internet des objets. Le passé a malheureusement montré que ce sont en général des questions que l'on se pose a posteriori.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1822045
Mince, un pirate pourra subtiliser ... l'heure
Le #1822048
tof67 a écrit :

Mince, un pirate pourra subtiliser ... l'heure


Par la brutalité ?
Le #1822055
maman j'ai peur ils vont brutaliser mon smart phone please dont do i will give all what i have except my smart phone for sure
Anonyme
Le #1822056
"Cela suppose toutefois qu'il soit suffisamment proche de sa victime et qu'il analyse tout le trafic brut.".

C'est certainement pas sur ce concept que la NSA ou les Black Hats se pencheront pour faire de l'extraction de données en masse...

Encore un bon coup d'intox pour vendre des solutions commerciales à prix d'or !
Le #1822134
Bon, la prochaine fois que je verrai une sublime blonde slave à forte poitrine qui me colle en regardant ma smartwatch, tout en caressant son ... smartphone, je lui dirai :

"Arrête ! j'ai Bite defendeur pour pas me faire bruteforcer !! mais si tu veux, c'est pas la peine d'utiliser la force : tu me montres ta smartBox, et moi je te file ma ************** !

Bon, OK je sors !
Le #1822391
Dans l'ere actuelle, tout invention qui ne sert pas de pres ou de loin a t'espionner n'a plus l'aval de la NSA ni de raison d'exister !

Pensez vous qu'ils etaient incapable de faire des watchs non connectées !???
Le #1822393
Arobase40 a écrit :

"Cela suppose toutefois qu'il soit suffisamment proche de sa victime et qu'il analyse tout le trafic brut.".

C'est certainement pas sur ce concept que la NSA ou les Black Hats se pencheront pour faire de l'extraction de données en masse...

Encore un bon coup d'intox pour vendre des solutions commerciales à prix d'or !


Pas d'acccord avec toi, meme si ca ne fera pas grand nombre de victime, le piratage sans connexion existe bel et bien. Et vaut son pesant d'or.

Une simple ecoute des frequences emises par des touches de clavier ou tout apppereil electronique apporte l'integralité de ce que tu tapes.

Je ne sais plus ou j'ai lu l'article mais tiens :

http://www.lemondeinformatique.fr/actualites/lire-la-nsa-pirate-par-ondes-radio-des-pc-non-connectes-56282.html
Anonyme
Le #1822472
Pikaboy a écrit :

Arobase40 a écrit :

"Cela suppose toutefois qu'il soit suffisamment proche de sa victime et qu'il analyse tout le trafic brut.".

C'est certainement pas sur ce concept que la NSA ou les Black Hats se pencheront pour faire de l'extraction de données en masse...

Encore un bon coup d'intox pour vendre des solutions commerciales à prix d'or !


Pas d'acccord avec toi, meme si ca ne fera pas grand nombre de victime, le piratage sans connexion existe bel et bien. Et vaut son pesant d'or.

Une simple ecoute des frequences emises par des touches de clavier ou tout apppereil electronique apporte l'integralité de ce que tu tapes.

Je ne sais plus ou j'ai lu l'article mais tiens :

http://www.lemondeinformatique.fr/actualites/lire-la-nsa-pirate-par-ondes-radio-des-pc-non-connectes-56282.html


Et la marmotte dans l'histoire ???
Le #1822473
la marmotte pas vu... et pas pris bien sur
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]