De versleutelde communicatie tussen een Android-telefoon en een smartwatch met Android Wear is beveiligd met een pincode van slechts zes cijfers. Dat claimt een beveiligingsbedrijf. Wie de zescijferige pincode kraakt, kan notificaties van gebruikers onderscheppen.
Met gekraakte pincodes kan onderschept verkeer ontsleuteld worden en zijn berichten uit te lezen, stelt een beveiligingsonderzoeker van BitDefender. Het kraken van de pincode zou niet moeilijk zijn: omdat het zes cijfers zijn, zijn er maximaal een miljoen mogelijkheden. Met een brute force-aanval van opensourcetools is die code makkelijk te achterhalen.
Over de bluetooth-verbinding stuurt de telefoon notificaties door, zoals chatberichten, mails, sms’jes en binnenkomende telefoontjes. Om het verkeer te onderscheppen moet de aanvaller wel dicht bij de gebruiker in de buurt zijn, zodat de bluetooth-verbinding in zicht is. De onderzoeker gebruikte een Nexus 4 met Android L Preview en een Samsung Gear Live-smartwatch met Android Wear.
Huidige smartwatches en telefoons leggen verbinding via bluetooth 4.0 en 4.1, versies waarin de stuurgroep Bluetooth SIG een zwakkere beveiliging in heeft gezet dan in oudere bluetooth-versies, omdat het niet op tijd te implementeren bleek. In versie 4.2 is dat aangepast. Bij veel bluetooth-verbindingen is de matige beveiliging geen probleem, maar het verkeer tussen een Android-smartphone en een Android Wear-wearable kan gevoelige gegevens bevatten. Google heeft er blijkbaar niet voor gekozen een extra beveiligingslaag toe te voegen.