Bluetooth makkelijker te hacken dan gedacht
Achtcijferige code noodzakelijk
28 juni 2005 | Remco Mourits
Bluetooth is eenvoudiger te hacken dan gedacht. Het is dan ook noodzakelijk dat gebruikers de draadloze verbinding beveiligen met een achtcijferig PIN-nummer, waarschuwt de Bluetooth Special Interest Group (SIG).
Bluetooth is de populaire draadloze netwerkstandaard voor over korte afstanden; het wordt onder meer gebruikt om pda's en mobiele telefoons draadloos te koppelen aan headsets, printers en andere apparaten.
Twee apparaten kunnen pas via bluetooth communiceren als ze zijn 'gelinkt'- een eenmalig proces waarbij op beide apparaten dezelfde PIN-code moet worden ingevoerd. Een hacker kan op afstand dit 'linken' tussen apparaten onderscheppen en de PIN decoderen.
Omdat bluetooth alleen over korte afstand (zo'n tien meter) werkt en het linken tussen twee apparaten slechts één keer hoeft te gebeuren, werd de techniek veilig geacht. Totdat Yaniv Shaked en Avishai Wool van de Tel Aviv University in Israël deze maand een methode publiceerden die de hack-methode een stuk gevaarlijker maakt.
De twee onderzoekers lieten in hun rapport "Cracking the Bluetooth PIN" zien hoe een hacker twee bluetooth-apparaten kan 'ontkoppelen', zodat de gebruiker ze opnieuw moet linken. Op dat moment kan de hacker proberen de PIN-code te onderscheppen.
De Bluetooth SIG raadt allereerst aan om een PIN-code met maximale lengte (8 leestekens) te gebruiken, en daarin zowel cijfers als letters te verwerken: "U hoeft deze code in principe slechts een keer in te voeren, dus de gevolgen voor het gebruiksgemak zijn minimaal."
De SIG is het met de Israëlische onderzoekers eens dat een viercijferige code in een tiende van een seconde is te kraken, terwijl het kraken van een achtcijferige PIN honderd jaar kan duren. Sommige apparaten (zoals headsets) krijgen van de fabrikant een viercijferige PIN mee, maar in de meeste apparaten (zoals mobiele telefoons) kan de gebruiker zelf de PIN instellen.
De SIG raadt ook aan nooit een link tussen twee apparaten tot stand te brengen in een openbare plaats, waar iemand de code ongemerkt zou kunnen stelen.
Consumenten hoeven zich volgens de SIG niet al te veel zorgen te maken. Om een code te kunnen onderscheppen, heeft een hacker behoorlijk geavanceerde en dus dure apparatuur nodig. De kans dat een hacker deze apparatuur zal inzetten om in de supermarkt iemands telefoontje te kraken, is nogal klein; kwaadwillenden zullen zich eerder richten op bedrijfsspionage.
Met een bijdrage van Peter Judge, ZDNet UK
Lees meer artikels over :
bluetooth, hack
bron: ZDNet
