image

Onderzoeker snift wachtwoord Philips-tandenborstel om poetstijd te resetten

woensdag 31 mei 2023, 15:33 door Redactie, 18 reacties

Een beveiligingsonderzoeker heeft laten zien hoe het wachtwoord van een "slimme" Philips Sonicare-tandenborstel is te sniffen, om vervolgens de poetstijd te resetten. De Sonicare maakt gebruik van een opzetborstel die van een nfc-tag is voorzien. Via de tag wordt het aantal seconden bijgehouden dat er tanden zijn gepoetst. De tandenborstel leest deze waardes uit en laat na een bepaalde tijd het lampje knipperen, zodat de gebruiker weet dat hij de opzetborstel moet vervangen.

Het aanpassen van de poetstijd op de nfc-tag van de opzetborstel vereist een wachtwoord. Onderzoeker Cyrill Künzi ontdekte dat het wachtwoord onbeveiligd wordt verstuurd en via een software defined radio receiver (SDR) is te sniffen. Met het wachtwoord is vervolgens de poetstijd op de tag aan te passen. Verder blijkt dat Philips de nfc-tag zo heeft geconfigureerd, dat slechts drie verkeerde wachtwoordpogingen zijn toegestaan. Daarna is het niet meer mogelijk om naar de tag te schrijven, ook niet meer door de tandenborstel. Verder gebruikt Philips voor zover bekend voor elke opzetborstel een uniek wachtwoord.

Reacties (18)
31-05-2023, 15:43 door Anoniem
En eh... waarom zou ik een Flipse tandenborstel met een NFC-ding er in überhaupt kopen? Of is dat een verkeerde vraag?
31-05-2023, 16:06 door Anoniem
Wacht wat?
Waarom zit er een wachtwoord op tandenborstels?

Dat hier überhaupt aan te hacken viel vind ik wel wat triestjes worden...
31-05-2023, 17:55 door Anoniem
Je zou te lang met de borstels kunnen doen... Planning for obsolence.
Philips heeft daar een historie en naam hoog te houden..
Eerst gingen lampen duizenden uren mee, toe begon philips reclame te maken voor lampen die 1000 uur mee gingen ( minder dan voorheen) en zorgden voor id 1000 uur leeftijd, later meer wel 2000... Nog altijd minder dan voor geplande overbodigheid.
31-05-2023, 18:19 door Anoniem
Vanaf nu kan je de hackers in het wild zo herkennen.
Dat zijn de mensjes met rotte tanden en kiezen.
31-05-2023, 18:44 door Anoniem
Nu moet je als ouder al terug opnieuw je kind in het oog houden, anders hacken ze de tandenborstel nog.
31-05-2023, 22:48 door Anoniem
Nou wat een boeiend artikel, alleen is er dus precies niets aan de hand.
31-05-2023, 23:08 door Anoniem
Niets aan de hand, prof. Noah Yuval Harari, de WEF-filosoof,
stelt, dat de mens thans een hackbaar 'dier' is geworden.

En het begon allemaal bij de tandenborstel.
01-06-2023, 03:57 door Anoniem
Door Anoniem: Nou wat een boeiend artikel, alleen is er dus precies niets aan de hand.

Behalve dat je de tandenborstel kan weggooien als iemand 3x het verkeerde wachtwoord invoert.
01-06-2023, 08:17 door Anoniem
Door Anoniem: Nou wat een boeiend artikel, alleen is er dus precies niets aan de hand.

Kijk - jij hebt 't artikel wèl gelezen! Iedereen flipt 'm de pan uit omdat ze wel de klok hebben horen slaan, maar vergeten te lezen waar de klepel nou hangt.

De Philips tandenborstel in kwestie houdt via een NFC tag in de tandenborstel bij hoeveel seconden de borstel gebruikt is om te poetsen. Na x-aantal seconden gaat er een piepertje dat het beter is de borstel te vervangen. Net zoals er een piepertje gaat als de batterij leeg is of als je te hard drukt met poetsen: het is een tip, maar de borstel poetst er niet minder om.

Dat Philips de moeite heeft genomen om de communicatie met een wachtwoord te beveiligen, dat de borstel zichzelf op slot zet na 3 verkeerde wachtwoorden en dat elke borstel een ander wachtwoord gebruikt zou Security mensen toch enorm aan moeten spreken?!? Wees blij dat iemand eerst nadenkt voordat 'ie een feature op de markt gooit!
01-06-2023, 08:39 door Anoniem
Wel grappig om nu bevestigd te krijgen wat ik al dacht, wel heel toevallig dat mijn echtgenoot en ik precies op hetzelfde moment de melding krijgen dat het borsteltje op is. Wij negeren die melding omdat hij gewoon blijft werken, wij vervangen het borsteltje gewoon elke 3 maanden, zoals ik dat ook al deed met niet elektrische tandenborstels.
Maar het verbaast mij niet dat het zo makkelijk te hacken is, waarom zouden ze hier veel geld aan besteden als slechts een klein groepje mensen er iets mee kan doen.
01-06-2023, 11:20 door Anoniem
Ha! Nu wil ik een slim potlood ('hardheid H' graag) die me verteld wanneer ik de punt moet slijpen! Hm, moet ik nu ook een wachtwoord op mijn potlood willen?
01-06-2023, 12:38 door Anoniem
Niet heel interessant idd. Kun je dan niet gewoon als je een nieuw borsteltje hebt even bewust 3 keer een fout wachtwoord opgeven, en dan krijg je die melding niet meer? :P
01-06-2023, 13:33 door Anoniem
Duidelijk, dit soort producten heb je niet nodig. Koop gewoon een ander product dat deze flauwekul niet heeft.
01-06-2023, 15:54 door Anoniem
Door Anoniem:
Door Anoniem: Nou wat een boeiend artikel, alleen is er dus precies niets aan de hand.

Behalve dat je de tandenborstel kan weggooien als iemand 3x het verkeerde wachtwoord invoert.

Beetje gebrek aan leesvaardigheid , of snap vaardigheid ?

Het opzetborsteltje kun je dan weggooien - en dat 'invoeren' van password is alleen als je zelf met een NFC reader/writer zit te hacken .
En ja , die dingen zijn bedoeld om elke drie maanden weggegooit te worden. Bij de 'analoge' opzet borsteltjes kijk je naar de kleur van de haren, btw.

Het tandenborstelapparaat gebruikt dat 'password' gewoon in één keer goed, en je zit zelf niks 'in te voeren' wanneer je niet aan het hacken bent .

Het is best een boeiend artikel - leuk gedaan. Degenen die hier soms zeuren dat "ze zonder papiertje niet aangenomen worden" , doe zelf dit soort research. Prima om te laten zien dat je kunt reverse engineeren .
De schrijver is freelancer en 'available for hire' . Met dit soort blogs zal het 'm wel lukken om ingehuurd te worden.
01-06-2023, 16:04 door Anoniem
Door Anoniem:
Door Anoniem: Nou wat een boeiend artikel, alleen is er dus precies niets aan de hand.

Kijk - jij hebt 't artikel wèl gelezen! Iedereen flipt 'm de pan uit omdat ze wel de klok hebben horen slaan, maar vergeten te lezen waar de klepel nou hangt.

De Philips tandenborstel in kwestie houdt via een NFC tag in de tandenborstel bij hoeveel seconden de borstel gebruikt is om te poetsen. Na x-aantal seconden gaat er een piepertje dat het beter is de borstel te vervangen. Net zoals er een piepertje gaat als de batterij leeg is of als je te hard drukt met poetsen: het is een tip, maar de borstel poetst er niet minder om.

Dat Philips de moeite heeft genomen om de communicatie met een wachtwoord te beveiligen, dat de borstel zichzelf op slot zet na 3 verkeerde wachtwoorden en dat elke borstel een ander wachtwoord gebruikt zou Security mensen toch enorm aan moeten spreken?!? Wees blij dat iemand eerst nadenkt voordat 'ie een feature op de markt gooit!

Inderdaad.

Waarom er uberhaupt een 'password' op zit vraag ik me af.

Het kan natuurlijk gewoon zijn dat de developer lekker zat te nerden, de password feature zit in de chip DUS die gaan we gebruiken ook , "just because" . Sluit ik zeker niet uit.
Dan kun je kwaadwillend denken , en het als aanloop zien voor een vendor-lockin dat _allleen_ approved borsteltjes gebruikt kunnen worden, en ook nog verplicht weg moeten na (nu) drie maanden.
vergelijkbaar met de inkt-mafia , en de SFPs .

De meer 'nette' reden voor de password feature - lijkt me ook plausibel - is om te zorgen dat alleen het 'gekoppelde' apparaat de poets-seconden kan updaten .
Ik kan me bij zo'n partner situatie met twee borstels lepeltje-lepeltje op de wastafel misschien de NFC reikwijdte net genoeg is om "de verkeerde" borstel te updaten, en dan is zo'n plaintext password al genoeg om alleen de goede te updaten.

Analoge (opzet)borstels hebben verkleurende haren om aan te geven dat ze oud aan het worden zijn.
(en ja, ik ben niet autist genoeg om op de kalender aan te tekenen wanneer ik gewisseld ben van borstel, en het _is_ een feit dat te oude borstels niet meer zo goed poetsen), dus _een_ indicator wanneer gewisseld is echt wel een nette feature.
01-06-2023, 17:46 door Anoniem
Heerlijk dit en wat een humor in de coulissen. Al weer lang geleden was er hier een post over brandgevaar door bluetooth krultangen. Wegens hekkers. Die was zo geweldig dat ik sindsdien er beter niet aan denk. Of de heren moet vrij zijn en dan moet ik nog rennen.

Een tandenborstel met een password.

Hoe verzin je het! Alsjeblieft. Ik had weer mazzel dat de heren vrij was! Mijn schoenen waren anders overgelopen.
01-06-2023, 19:09 door Anoniem
Ik heb een dom koffiezetapparaat maar wel met een waterfilter+NFCtag om aan te geven in de display wanneer je dat filter moet vervangen volgens de fabrikant. Niks loos, het lampje is niet meer blauw van kleur maar rood.
01-06-2023, 21:47 door Anoniem
Door Anoniem:
Analoge (opzet)borstels hebben verkleurende haren om aan te geven dat ze oud aan het worden zijn.
(en ja, ik ben niet autist genoeg om op de kalender aan te tekenen wanneer ik gewisseld ben van borstel, en het _is_ een feit dat te oude borstels niet meer zo goed poetsen), dus _een_ indicator wanneer gewisseld is echt wel een nette feature.
Snap ik allemaal niet. De haren van een borsteltje slijten toch? Als ze mij te kort zijn, dan pak ik een nieuw borsteltje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.