De versleutelde communicatie tussen een Android-telefoon en een smartwatch met Android Wear is beveiligd met een pincode van slechts zes cijfers. Met gekraakte pincodes kan onderschept verkeer ontsleuteld worden en zijn berichten uit te lezen, stelt een beveiligingsonderzoekers van BitDefender. Het kraken van de pincode zou niet moeilijk zijn: omdat het zes cijfers zijn, zijn er maximaal een miljoen mogelijkheden. Met een brute force-aanval van opensourcetools is die code makkelijk te achterhalen.

Om het verkeer te onderscheppen moet de aanvaller wel dicht bij de gebruiker in de buurt zijn, zodat de bluetooth-verbinding in zicht is. De onderzoeker gebruikte een Nexus 4 met Android L Preview en een Samsung Gear Live-smartwatch met Android Wear. Huidige smartwatches en telefoons leggen verbinding via bluetooth 4.0 en 4.1, versies waarin de stuurgroep Bluetooth SIG een zwakkere beveiliging in heeft gezet dan in oudere bluetooth-versies, omdat het niet op tijd te implementeren bleek. In versie 4.2 is dat aangepast. 

Google heeft er blijkbaar niet voor gekozen een extra beveiligingslaag toe te voegen.

Alles bij de bron; Tweakers