Een onderzoeker heeft een kwetsbaarheid in de Pebble smartwatch ontdekt waardoor een aanvaller op afstand de informatie op het slimme horloge kan wissen. De Pebble is eigenlijk een minicomputer en ontwikkeld door de Pebble Technology Corporation. Het horloge is compatibel met zowel Android als iOS.
De Pebble kon worden ontwikkeld dankzij een Kickstarter project waarbij meer dan 10 miljoen dollar werd opgehaald. Inmiddels zouden meer dan 400.000 Pebbles zijn verkocht. De Pebble kan, wanneer gekoppeld met een smartphone, een waarschuwing geven als er een bericht van Whatsapp of Facebook binnenkomt. Hierbij wordt geprobeerd om het hele bericht in het kleine horlogescherm weer te geven.
Volgens onderzoeker Hemanth Joseph zit er geen limiet aan het aantal weergegeven karakters. Zelfs bij een lang bericht van meer dan 100 woorden zal de Pebble proberen om het hele bericht te tonen. "Dit maakt al duidelijk dat we het horloge kunnen laten vastlopen door veel berichten weer te laten geven. Maar wat mijn onderzoek uitwijst is de ernst van deze bug", zegt Joseph.
Tijdens zijn test verstuurde de onderzoeker een "berichtenbom" van meer dan 1500 Whatsapp-berichten in vijf seconden. Zoals verwacht werd het scherm van de Pebble gevuld met allerlei strepen. De enige manier om het horloge weer werkend te krijgen is het uitvoeren van een fabrieks reset, waarbij alle apps en andere opgeslagen gegevens worden gewist. Het probleem deed zich ook voor bij het versturen van 300 berichten in vijf seconden.
"Door deze Denial of Service-bug te gebruiken kan iemand met je Facebook-ID of mobiele nummer op afstand alle data van je Pebble wissen door alleen het versturen van een kleine berichtenbom", aldus Joseph. Het probleem speelt in de meest recente versie van de Pebble-firmware (2.4.1). De onderzoeker adviseert aan de Pebble-ontwikkelaars om een limiet aan het aantal weergegeven karakters in te stellen. Een oplossing voor gebruikers is nog niet voorhanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.