Kwaadwillenden kunnen op afstand data van Pebble-smartwatch verwijderen

Een beveiligingsonderzoeker heeft ontdekt dat het voor kwaadwillenden relatief gemakkelijk is om op afstand alle data van de Pebble-smartwatch te laten verwijderen. Door een bug wordt op de smartwatch automatisch een reset uitgevoerd als deze wordt bestookt met berichten.

De methode om het Pebble-horloge een factory reset uit te laten voeren waarbij alle data van het apparaatje wordt verwijderd werd ontdekt door Hermanth Joseph, die hierover in een blogpost uitleg verschafte. Het blijkt mogelijk om een dos-aanval uit te voeren op de Pebble door deze te bestoken met berichten. De Pebble heeft als eigenschap dat het elk binnenkomend bericht in zijn volledigheid laat zien op het scherm, waardoor het relatief gemakkelijk is om het horloge vast te laten lopen.

Joseph stuurde in slechts vijf seconden tijd ongeveer 1500 Whatsapp-berichten naar zijn eigen account, waar de smartwatch niet mee om bleek te kunnen gaan. Dat zorgde er vervolgens automatisch voor dat er een factory reset werd uitgevoerd. Daardoor verliest de gebruiker alle gegevens die op het horloge zijn opgeslagen. Het is echter niet duidelijk waarom de Pebble automatisch een reset uitvoert. Volgens Joseph werkt zijn dos-methode ook door een kleiner aantal berichten naar de smartwatch te versturen.

Met de methode kunnen kwaadwillenden zonder daarvoor technische kennis nodig te hebben ervoor zorgen dat de Pebble wordt gereset. Het enige wat daarvoor nodig is zijn contactgegevens voor accounts die de gebruiker heeft ingesteld voor het ontvangen van notificaties op het horloge. De Pebble laat ook notificaties van Facebook zien, waardoor het in theorie mogelijk is om op verschillende manieren de dos-methode uit te voeren. Om notificaties te tonen moet de Pebble worden gekoppeld met een smartphone.

Pebble

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 23-08-2014 09:03
74 • submitter: chaozz

23-08-2014 • 09:03

74

Submitter: chaozz

Lees meer

Pebble E-Paper Watch

geen prijs bekend

4.5 van 5 sterren
Pebble Steel

geen prijs bekend

4 van 5 sterren
Pebble begint met ondersteuning Android Wear-notificaties
Pebble begint met ondersteuning Android Wear-notificaties Nieuws van 17 februari 2015
Windows Phone lijkt ondersteuning smartwatches te krijgen met 8.1 Update
Windows Phone lijkt ondersteuning smartwatches te krijgen met 8.1 Update Nieuws van 5 augustus 2014
Gerucht: smartwatch van Microsoft gaat iOS en Android ondersteunen
Gerucht: smartwatch van Microsoft gaat iOS en Android ondersteunen Nieuws van 30 mei 2014
Bol.com verkoopt Pebble Steel-smartwatch voor ruim 350 euro - update
Bol.com verkoopt Pebble Steel-smartwatch voor ruim 350 euro - update Nieuws van 12 mei 2014
Eerste smartwatch met Android Wear kost minder dan 220 euro
Eerste smartwatch met Android Wear kost minder dan 220 euro Nieuws van 9 april 2014
Pebble kondigt metalen smartwatch Pebble Steel aan
Pebble kondigt metalen smartwatch Pebble Steel aan Nieuws van 6 januari 2014
Meer producten en artikelen
Netwerk en systeembeheer Smartwatches Pebble

Reacties (74)

-Moderatie-faq
74
68
44
5
0
5
Wijzig sortering

Sorteer op:

Weergave:
Devin19 23 augustus 2014 09:41
Is het behalve dat er dus een dos uitgevoerd kan worden, niet ook een probleem wanneer je een paar dagen geen internet hebt gehad op je smartphone, en er dan honderden Whatsapp berichten uit groepsgesprekken binnenkomen?
Het lijkt mij dat dit hetzelfde effect oplevert, en ook eerder voor zal komen dan dat iemand honderden berichten per seconde naar je gaat spammen.
GORby @Devin1925 augustus 2014 10:27
Dat zou niet echt een probleem moeten zijn, aangezien die apps dan - als ze goed geschreven zijn - ineens zoveel berichten binnen krijgen, en vervolgens een melding geven dat je honderden berichten hebt in plaats van 1 melding per bericht.

Bij GMail is het in ieder geval zo dat ik wanneer ik terug verbinding maak 1 melding krijg van 'x new messages' en mijn Pebble dus ook maar 1 melding krijgt van GMail.
MaDLiVe 23 augustus 2014 09:23
Nou nou, wat een probleem. Aangezien er amper data op de pebble wordt opgeslagen lijkt dit mij een waardeloze hack. Je horloge reset en vervolgens worden de apps vanuit de pebble app weer geupload en je kunt weer verder. Bovendien schijn je dus een username en pasword nodig te hebben van het desbetreffende pebble account.
SeatRider @MaDLiVe23 augustus 2014 09:27
Nadat je hem eerst weer even handmatig hebt gepaired (het is immers een factory reset).
blorf @SeatRider23 augustus 2014 09:37
Dat zorgt in theorie weer voor een risico omdat de aanvaller op dat moment nog waarschijnlijk nog steeds in de buurt is en mogelijk de uitgewisselde data voor dat handshaken e.d. kan vangen en misbruiken. Om vervolgens de aanval te herhalen en een poging te doen het horloge te kapen.
Als je zo'n ding op afstand kan laten crashen met zo'n simpel truukje ben ik wat betreft de rest van de beveiliging bang voor het ergste.

edit: Of andersom. Je imiteert het horloge en dringt de telefoon binnen.

[Reactie gewijzigd door blorf op 26 juli 2024 17:10]

Devin19 @MaDLiVe23 augustus 2014 09:30
Bovendien schijn je dus een username en pasword nodig te hebben van het desbetreffende pebble account.
Contactgegevens zijn niet hetzelfde als inloggegevens, je moet bijvoorbeeld het telefoonnummer hebben van de eigenaar, of weten wat zijn facebook account is.
Dit zijn alle contactgegevens die je nodig hebt om berichten naar hem te kunnen spammen, wat er dan voor zorgt dat zijn pebble een factory reset doet.

[Reactie gewijzigd door Devin19 op 26 juli 2024 17:10]

mmniet 23 augustus 2014 09:20
Jammer van de bug natuurlijk, maar inderdaad als pebble gebruiker niet iets verontrustends, wie wil dit nu doen?
unglaublich @mmniet23 augustus 2014 09:29
Goed punt, er is vast maar één gek op de miljoen die dit wil doen! Jammer dat dat er dan 6,000 wereldwijd maken ;)

Dat is altijd een beetje het punt, er zijn zoveel mensen dat er altijd wel iemand tussen zit die er misbruik van kan/wil maken.
GoT @unglaublich24 augustus 2014 10:12
Maar die gek dient eerst in jouw contactlijst te staan, anders gaat het niet werken.
HenkEisDS @GoT24 augustus 2014 18:06
Nee hoor, twitter mentions komen ook op mijn horloge terecht. Net als smsjes en mails. (Hoewel ik mail wel heb uitgezet, daar wordt je gek van)
Tricto 23 augustus 2014 09:45
Hmm dus wat je zou kunnen doen is iedereen die de Facebookpagina van Pebble leuk vind 1500 prive berichten op Facebook sturen. Zelfs al heeft maar 10% van die mensen een Pebble dan heb je het toch over 17.000 apparaten die zichzelf gaan resetten.
ironic6925 23 augustus 2014 09:59
Als Pebble gebruiker zit ik nu te bibberen op mijn stoel :z ! Dit risico acht ik zo onnoemelijk klein in vergelijking wat er allemaal mis kan gaan middels mijn smartphone of laptop.
hhoekstra 23 augustus 2014 10:16
Waarom zeiken mensen deze hack af...

Het is gewoon een fout in de Pebble die opgelost dient te worden?
en ja het klopt dat het niet zo'n erge bug is en je kan bijna altijd de veroorzaker achterhalen maar wil toch niet zeggen dat Pebble dit naast zich neer kan leggen.
ya_masr 23 augustus 2014 12:51
Heb zelf geen peble, maar het lijkt me raar dat iemand dat zou willen doen
Als dit niet openbaar was gebracht was er waarschijnlijk niemand achtergekomen (voorlopig)
Ramon @ya_masr23 augustus 2014 13:49
Waarom is dat raar? Als je de tijd kan resetten (weet niet of dat kan) dan kan je daar heel veel (on)gein mee uithalen: van mensen die te laat op de training komen (onschuldig) tot mensen die te laat op een sollicatie-gesprek komen (iets meer impact).
ya_masr @Ramon23 augustus 2014 22:54
Ja der lopen mensen rond met zieke geest.
Maar miss kan dat niet miss kan je tijd resseten zoals ik al zij ik heb geen peble dus weet niet precies wat de mogelijkheden zijn
sanderv @ya_masr24 augustus 2014 08:26
Als dit niet openbaar was gebracht was er waarschijnlijk niemand achtergekomen (voorlopig)
Het nieuws is toch juist dat iemand er achtergekomen is? Beetje Catch 22 dit...
ya_masr @sanderv24 augustus 2014 23:00
Ja de meningen kunnen er over verschillen.
Maar zodra het onder de aandacht wordt gebracht versprijdt het zich.
ro8in 23 augustus 2014 13:53
Maar er staat amper data op mijn Pebble. Ja de laatste 10 berichten ofzo. En wat apps die zo weer geinstalleerd zijn. Beetje non nieuws dit. Het zou mij echt een worst wezen of dat ding een factory reset doet. Binnen 2 minuten ben je weer up en running. Eerder een leuk dingetje om iemand met een Pebble een beetje mee te trollen, maar meer ook niet.
sorted.bits @ro8in23 augustus 2014 14:02
Tot ik een script opzet wat elke 10 minuten 1500 berichten naar jou stuurt. Dan is dus je pebble voortaan onbruikbaar, want elke keer als jij "in 2 minuten je apps weer heb geinstalleerd", wordt hij al weer gefactory reset.

Het ontgaat mensen gewoon dat er geen reden voor hoeft te zijn om dit soort hacks uit te voeren, maar dat het wel verholpen moet worden.
Verwijderd @sorted.bits23 augustus 2014 17:50
Daarnaast geeft zit ook chantage mogelijkheden (pesten bijvoorbeeld) of zelfs een linkje naar de weg naar binnen voor het ontvangen van whatsapp gespreken etc.
Keffa18 @sorted.bits25 augustus 2014 06:30
Ja en als je dat eenmaal hebt gedaan blokkeer ik je op WhatsApp, probleem opgelost...
TheCapK 23 augustus 2014 09:25
Is wel handig als je weet dat er misschien een filmpje op staat wat belastend kan zijn voor jou. Je voert een dos uit en het filmpje is weg.
Heel wat mensen zouden dit graag kunne doen bij andere mobiele devices denk ik zo.
RocketKoen
@TheCapK23 augustus 2014 10:25
Er zit alleen geen camera ofzo op.
De pebble is een low-power LCD scherm met 4 knopjes.

Ook de smartwatches die dit wel hebben slaan hun data over het algemeen op op de gekoppelde smartphone.
Berkeley 23 augustus 2014 09:09
Ben benieuwd wanneer dit opgelost wordt..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq