Onderzoeker snift wachtwoord Philips-tandenborstel om poetstijd te resetten
Een beveiligingsonderzoeker heeft laten zien hoe het wachtwoord van een "slimme" Philips Sonicare-tandenborstel is te sniffen, om vervolgens de poetstijd te resetten. De Sonicare maakt gebruik van een opzetborstel die van een nfc-tag is voorzien. Via de tag wordt het aantal seconden bijgehouden dat er tanden zijn gepoetst. De tandenborstel leest deze waardes uit en laat na een bepaalde tijd het lampje knipperen, zodat de gebruiker weet dat hij de opzetborstel moet vervangen.
Het aanpassen van de poetstijd op de nfc-tag van de opzetborstel vereist een wachtwoord. Onderzoeker Cyrill Künzi ontdekte dat het wachtwoord onbeveiligd wordt verstuurd en via een software defined radio receiver (SDR) is te sniffen. Met het wachtwoord is vervolgens de poetstijd op de tag aan te passen. Verder blijkt dat Philips de nfc-tag zo heeft geconfigureerd, dat slechts drie verkeerde wachtwoordpogingen zijn toegestaan. Daarna is het niet meer mogelijk om naar de tag te schrijven, ook niet meer door de tandenborstel. Verder gebruikt Philips voor zover bekend voor elke opzetborstel een uniek wachtwoord.
Waarom zit er een wachtwoord op tandenborstels?
Dat hier überhaupt aan te hacken viel vind ik wel wat triestjes worden...
Philips heeft daar een historie en naam hoog te houden..
Eerst gingen lampen duizenden uren mee, toe begon philips reclame te maken voor lampen die 1000 uur mee gingen ( minder dan voorheen) en zorgden voor id 1000 uur leeftijd, later meer wel 2000... Nog altijd minder dan voor geplande overbodigheid.
Dat zijn de mensjes met rotte tanden en kiezen.
stelt, dat de mens thans een hackbaar 'dier' is geworden.
En het begon allemaal bij de tandenborstel.
Behalve dat je de tandenborstel kan weggooien als iemand 3x het verkeerde wachtwoord invoert.
Kijk - jij hebt 't artikel wèl gelezen! Iedereen flipt 'm de pan uit omdat ze wel de klok hebben horen slaan, maar vergeten te lezen waar de klepel nou hangt.
De Philips tandenborstel in kwestie houdt via een NFC tag in de tandenborstel bij hoeveel seconden de borstel gebruikt is om te poetsen. Na x-aantal seconden gaat er een piepertje dat het beter is de borstel te vervangen. Net zoals er een piepertje gaat als de batterij leeg is of als je te hard drukt met poetsen: het is een tip, maar de borstel poetst er niet minder om.
Dat Philips de moeite heeft genomen om de communicatie met een wachtwoord te beveiligen, dat de borstel zichzelf op slot zet na 3 verkeerde wachtwoorden en dat elke borstel een ander wachtwoord gebruikt zou Security mensen toch enorm aan moeten spreken?!? Wees blij dat iemand eerst nadenkt voordat 'ie een feature op de markt gooit!
Maar het verbaast mij niet dat het zo makkelijk te hacken is, waarom zouden ze hier veel geld aan besteden als slechts een klein groepje mensen er iets mee kan doen.
Behalve dat je de tandenborstel kan weggooien als iemand 3x het verkeerde wachtwoord invoert.
Beetje gebrek aan leesvaardigheid , of snap vaardigheid ?
Het opzetborsteltje kun je dan weggooien - en dat 'invoeren' van password is alleen als je zelf met een NFC reader/writer zit te hacken .
En ja , die dingen zijn bedoeld om elke drie maanden weggegooit te worden. Bij de 'analoge' opzet borsteltjes kijk je naar de kleur van de haren, btw.
Het tandenborstelapparaat gebruikt dat 'password' gewoon in één keer goed, en je zit zelf niks 'in te voeren' wanneer je niet aan het hacken bent .
Het is best een boeiend artikel - leuk gedaan. Degenen die hier soms zeuren dat "ze zonder papiertje niet aangenomen worden" , doe zelf dit soort research. Prima om te laten zien dat je kunt reverse engineeren .
De schrijver is freelancer en 'available for hire' . Met dit soort blogs zal het 'm wel lukken om ingehuurd te worden.
Kijk - jij hebt 't artikel wèl gelezen! Iedereen flipt 'm de pan uit omdat ze wel de klok hebben horen slaan, maar vergeten te lezen waar de klepel nou hangt.
De Philips tandenborstel in kwestie houdt via een NFC tag in de tandenborstel bij hoeveel seconden de borstel gebruikt is om te poetsen. Na x-aantal seconden gaat er een piepertje dat het beter is de borstel te vervangen. Net zoals er een piepertje gaat als de batterij leeg is of als je te hard drukt met poetsen: het is een tip, maar de borstel poetst er niet minder om.
Dat Philips de moeite heeft genomen om de communicatie met een wachtwoord te beveiligen, dat de borstel zichzelf op slot zet na 3 verkeerde wachtwoorden en dat elke borstel een ander wachtwoord gebruikt zou Security mensen toch enorm aan moeten spreken?!? Wees blij dat iemand eerst nadenkt voordat 'ie een feature op de markt gooit!
Inderdaad.
Waarom er uberhaupt een 'password' op zit vraag ik me af.
Het kan natuurlijk gewoon zijn dat de developer lekker zat te nerden, de password feature zit in de chip DUS die gaan we gebruiken ook , "just because" . Sluit ik zeker niet uit.
Dan kun je kwaadwillend denken , en het als aanloop zien voor een vendor-lockin dat _allleen_ approved borsteltjes gebruikt kunnen worden, en ook nog verplicht weg moeten na (nu) drie maanden.
vergelijkbaar met de inkt-mafia , en de SFPs .
De meer 'nette' reden voor de password feature - lijkt me ook plausibel - is om te zorgen dat alleen het 'gekoppelde' apparaat de poets-seconden kan updaten .
Ik kan me bij zo'n partner situatie met twee borstels lepeltje-lepeltje op de wastafel misschien de NFC reikwijdte net genoeg is om "de verkeerde" borstel te updaten, en dan is zo'n plaintext password al genoeg om alleen de goede te updaten.
Analoge (opzet)borstels hebben verkleurende haren om aan te geven dat ze oud aan het worden zijn.
(en ja, ik ben niet autist genoeg om op de kalender aan te tekenen wanneer ik gewisseld ben van borstel, en het _is_ een feit dat te oude borstels niet meer zo goed poetsen), dus _een_ indicator wanneer gewisseld is echt wel een nette feature.
Een tandenborstel met een password.
Hoe verzin je het! Alsjeblieft. Ik had weer mazzel dat de heren vrij was! Mijn schoenen waren anders overgelopen.
Analoge (opzet)borstels hebben verkleurende haren om aan te geven dat ze oud aan het worden zijn.
(en ja, ik ben niet autist genoeg om op de kalender aan te tekenen wanneer ik gewisseld ben van borstel, en het _is_ een feit dat te oude borstels niet meer zo goed poetsen), dus _een_ indicator wanneer gewisseld is echt wel een nette feature.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.