Det så ud som en helt almindelig gadget på armen.
Men bag skærmen gemmer sig en sårbarhed, der nu får sikkerhedseksperter til at slå alarm: Smartwatches kan bruges som redskab til at smugle adgangskoder og følsomme oplysninger ud af selv de mest lukkede og sikrede it-systemer – og det sker helt uden kabel eller trådløst netværk. Det fortæller Chip.
Ny malware er i stand til at udnytte ultralyd – lydfrekvenser lige på grænsen af, hvad det menneskelige øre kan opfange – til at overføre data direkte til et smartwatch. Også når uret ikke er tilkoblet Wi-Fi eller Bluetooth.
Kun ét krav skal være opfyldt: Uret skal befinde sig i samme rum som den inficerede enhed.
Selv såkaldte air-gapped systemer – altså computere, der netop er skabt til at stå alene uden internetforbindelse – kan nu udnyttes. Ved at plante ondsindet kode via fx USB-nøgler, sendes data videre med lydsignaler. Smartwatches kan opsnappe signalet og sende det videre over mobilnetværk eller senere via Wi-Fi.
Angrebet er blevet demonstreret ved brug af frekvenser på 18,5 og 19,5 kHz, og en hastighed på 50 bit pr. sekund er nok til at lække adgangskoder på under et minut.
Sikkerhedseksperter anbefaler, at man helt forbyder smartwatches og andet bærbart elektronik med mikrofon i områder, hvor datasikkerhed er kritisk. Alternativt kan man bruge højfrekvent støj til at afbryde signalerne.
