Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties
Submitter: chaozz

Een beveiligingsonderzoeker heeft ontdekt dat het voor kwaadwillenden relatief gemakkelijk is om op afstand alle data van de Pebble-smartwatch te laten verwijderen. Door een bug wordt op de smartwatch automatisch een reset uitgevoerd als deze wordt bestookt met berichten.

De methode om het Pebble-horloge een factory reset uit te laten voeren waarbij alle data van het apparaatje wordt verwijderd werd ontdekt door Hermanth Joseph, die hierover in een blogpost uitleg verschafte. Het blijkt mogelijk om een dos-aanval uit te voeren op de Pebble door deze te bestoken met berichten. De Pebble heeft als eigenschap dat het elk binnenkomend bericht in zijn volledigheid laat zien op het scherm, waardoor het relatief gemakkelijk is om het horloge vast te laten lopen.

Joseph stuurde in slechts vijf seconden tijd ongeveer 1500 Whatsapp-berichten naar zijn eigen account, waar de smartwatch niet mee om bleek te kunnen gaan. Dat zorgde er vervolgens automatisch voor dat er een factory reset werd uitgevoerd. Daardoor verliest de gebruiker alle gegevens die op het horloge zijn opgeslagen. Het is echter niet duidelijk waarom de Pebble automatisch een reset uitvoert. Volgens Joseph werkt zijn dos-methode ook door een kleiner aantal berichten naar de smartwatch te versturen.

Met de methode kunnen kwaadwillenden zonder daarvoor technische kennis nodig te hebben ervoor zorgen dat de Pebble wordt gereset. Het enige wat daarvoor nodig is zijn contactgegevens voor accounts die de gebruiker heeft ingesteld voor het ontvangen van notificaties op het horloge. De Pebble laat ook notificaties van Facebook zien, waardoor het in theorie mogelijk is om op verschillende manieren de dos-methode uit te voeren. Om notificaties te tonen moet de Pebble worden gekoppeld met een smartphone.

Pebble

Moderatie-faq Wijzig weergave

Reacties (74)

Is het behalve dat er dus een dos uitgevoerd kan worden, niet ook een probleem wanneer je een paar dagen geen internet hebt gehad op je smartphone, en er dan honderden Whatsapp berichten uit groepsgesprekken binnenkomen?
Het lijkt mij dat dit hetzelfde effect oplevert, en ook eerder voor zal komen dan dat iemand honderden berichten per seconde naar je gaat spammen.
Dat zou niet echt een probleem moeten zijn, aangezien die apps dan - als ze goed geschreven zijn - ineens zoveel berichten binnen krijgen, en vervolgens een melding geven dat je honderden berichten hebt in plaats van 1 melding per bericht.

Bij GMail is het in ieder geval zo dat ik wanneer ik terug verbinding maak 1 melding krijg van 'x new messages' en mijn Pebble dus ook maar 1 melding krijgt van GMail.
Nou nou, wat een probleem. Aangezien er amper data op de pebble wordt opgeslagen lijkt dit mij een waardeloze hack. Je horloge reset en vervolgens worden de apps vanuit de pebble app weer geupload en je kunt weer verder. Bovendien schijn je dus een username en pasword nodig te hebben van het desbetreffende pebble account.
Nadat je hem eerst weer even handmatig hebt gepaired (het is immers een factory reset).
Dat zorgt in theorie weer voor een risico omdat de aanvaller op dat moment nog waarschijnlijk nog steeds in de buurt is en mogelijk de uitgewisselde data voor dat handshaken e.d. kan vangen en misbruiken. Om vervolgens de aanval te herhalen en een poging te doen het horloge te kapen.
Als je zo'n ding op afstand kan laten crashen met zo'n simpel truukje ben ik wat betreft de rest van de beveiliging bang voor het ergste.

edit: Of andersom. Je imiteert het horloge en dringt de telefoon binnen.

[Reactie gewijzigd door blorf op 23 augustus 2014 09:47]

Bovendien schijn je dus een username en pasword nodig te hebben van het desbetreffende pebble account.
Contactgegevens zijn niet hetzelfde als inloggegevens, je moet bijvoorbeeld het telefoonnummer hebben van de eigenaar, of weten wat zijn facebook account is.
Dit zijn alle contactgegevens die je nodig hebt om berichten naar hem te kunnen spammen, wat er dan voor zorgt dat zijn pebble een factory reset doet.

[Reactie gewijzigd door Devin19 op 23 augustus 2014 09:34]

Jammer van de bug natuurlijk, maar inderdaad als pebble gebruiker niet iets verontrustends, wie wil dit nu doen?
Goed punt, er is vast maar één gek op de miljoen die dit wil doen! Jammer dat dat er dan 6,000 wereldwijd maken ;)

Dat is altijd een beetje het punt, er zijn zoveel mensen dat er altijd wel iemand tussen zit die er misbruik van kan/wil maken.
Maar die gek dient eerst in jouw contactlijst te staan, anders gaat het niet werken.
Nee hoor, twitter mentions komen ook op mijn horloge terecht. Net als smsjes en mails. (Hoewel ik mail wel heb uitgezet, daar wordt je gek van)
Hmm dus wat je zou kunnen doen is iedereen die de Facebookpagina van Pebble leuk vind 1500 prive berichten op Facebook sturen. Zelfs al heeft maar 10% van die mensen een Pebble dan heb je het toch over 17.000 apparaten die zichzelf gaan resetten.
Als Pebble gebruiker zit ik nu te bibberen op mijn stoel :z ! Dit risico acht ik zo onnoemelijk klein in vergelijking wat er allemaal mis kan gaan middels mijn smartphone of laptop.
Waarom zeiken mensen deze hack af...

Het is gewoon een fout in de Pebble die opgelost dient te worden?
en ja het klopt dat het niet zo'n erge bug is en je kan bijna altijd de veroorzaker achterhalen maar wil toch niet zeggen dat Pebble dit naast zich neer kan leggen.
Heb zelf geen peble, maar het lijkt me raar dat iemand dat zou willen doen
Als dit niet openbaar was gebracht was er waarschijnlijk niemand achtergekomen (voorlopig)
Waarom is dat raar? Als je de tijd kan resetten (weet niet of dat kan) dan kan je daar heel veel (on)gein mee uithalen: van mensen die te laat op de training komen (onschuldig) tot mensen die te laat op een sollicatie-gesprek komen (iets meer impact).
Ja der lopen mensen rond met zieke geest.
Maar miss kan dat niet miss kan je tijd resseten zoals ik al zij ik heb geen peble dus weet niet precies wat de mogelijkheden zijn
Als dit niet openbaar was gebracht was er waarschijnlijk niemand achtergekomen (voorlopig)
Het nieuws is toch juist dat iemand er achtergekomen is? Beetje Catch 22 dit...
Ja de meningen kunnen er over verschillen.
Maar zodra het onder de aandacht wordt gebracht versprijdt het zich.
Maar er staat amper data op mijn Pebble. Ja de laatste 10 berichten ofzo. En wat apps die zo weer geinstalleerd zijn. Beetje non nieuws dit. Het zou mij echt een worst wezen of dat ding een factory reset doet. Binnen 2 minuten ben je weer up en running. Eerder een leuk dingetje om iemand met een Pebble een beetje mee te trollen, maar meer ook niet.
Tot ik een script opzet wat elke 10 minuten 1500 berichten naar jou stuurt. Dan is dus je pebble voortaan onbruikbaar, want elke keer als jij "in 2 minuten je apps weer heb geinstalleerd", wordt hij al weer gefactory reset.

Het ontgaat mensen gewoon dat er geen reden voor hoeft te zijn om dit soort hacks uit te voeren, maar dat het wel verholpen moet worden.
Daarnaast geeft zit ook chantage mogelijkheden (pesten bijvoorbeeld) of zelfs een linkje naar de weg naar binnen voor het ontvangen van whatsapp gespreken etc.
Ja en als je dat eenmaal hebt gedaan blokkeer ik je op WhatsApp, probleem opgelost...
Is wel handig als je weet dat er misschien een filmpje op staat wat belastend kan zijn voor jou. Je voert een dos uit en het filmpje is weg.
Heel wat mensen zouden dit graag kunne doen bij andere mobiele devices denk ik zo.
Er zit alleen geen camera ofzo op.
De pebble is een low-power LCD scherm met 4 knopjes.

Ook de smartwatches die dit wel hebben slaan hun data over het algemeen op op de gekoppelde smartphone.
Ben benieuwd wanneer dit opgelost wordt..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True