«

»

Ago 25

Pebble smartwatch está afectado por una vulnerabilidad con la que un atacante remoto puede borrar todo su contenido

Pebble DoS

Si bien estamos ya acostumbrados a oir hablar sobre bugs de seguridad que afectan a múltiples dispositivos como ordenadores y más recientemente móviles, hasta ahora el mundo de los wearables se había mantenido relativamente a salvo hasta ahora, y decimos hasta ahora por que se ha dado a conocer una vulnerabilidad que afecta al smartwatch Pebble y por la cual, un atacante remoto sería capaz de borrar todos los datos de nuestro reloj al forzar a este a realiza una restauración con los datos de fábrica.

EL smartwatch Pebble es uno de los dispositivos de su categoría que más éxito ha tras su apoteósica campaña en la web de Croudfunding Kicktarter habiendo vendido más de 400.000 unidades en lo que lleva disponible.

La vulnerabilidad ha sido dada a conocer por Hemanth Joseph y afecta a todos los relojes Pebble incluso con la última versión del firmware, la v2.4.1 pudiendo ser explotada de forma remota por cualquiera, incluso sin conocimientos técnicos. Dicho exploit puede permitir el borrado de todos los datos almacenados en el reloj, configuración, aplicaciones, mensajes, notas, etc.

Por mensaje que recibe el reloj de Whatsapp, Facebook Messenger o aplicaciones similares Pebble emite una alerta o notificación con el mensaje completo mostrado en la pantalla. El problema reside en que no existe un límite para mostrar estos mensajes. Incluso si el mensaje es muy largo (más de 100 palabras) Pebble mostrará el mensaje completo en la pantalla, evidentemente demasiado pequeña para mostrar un mensaje de gran tamaño. Tras esto, es fácil pensar en un bloqueo del reloj si se le obliga a mostrar un gran número de notoficaciones seguidas.

Con un envío masivo de 1.500 mensajes de Whatsapp en 5 segundos la pantalla se llena de líneas,  tras lo que el dispositivo se apaga automáticamente y sorprendentemente, procede a restaurar los datos de fábrica conocido como «Factory Reset» sin ninguna interacción con el usuario. Evidentemente, una vez que se restauran los datos de fábrica se pierde toda la información que había anteriormente en el reloj, incluyendo datos, aplicaciones, configuraciones, etc.

El mismo se consigue bajando el número de mensajes a 300 en 5 segundos. Por ello, cualquier persona con el Facebook, el número de móvil, el correo o cualquier dato similar que pueda enviar a la víctima mediante alguna aplicación mensajes repetidos, podrá borrar todos los datos del reloj. Si pensamos que el ataque puede ser repetido con una determinada frecuencia, se podría convertir al reloj en algo totalmente inútil. Hemanth añade que tras el ataque y el reinicio del smartwatch la pantalla del smartwatch se ve invadida por una serie de líneas blancas que entorpecen su visión, las cuales no desaparecen al apagarlo y volverlo a encender. Para que el reloj vuelva a su estado correcto, deberemos de realizar nosotros mismos un nuevo reset, reestableciendo nuevamente el smartwatch a su estado de salida de fábrica.

Lineas en el pebble tras ataque

Como veis, no hace falta urdir una complicada estrategia de ataque para dejar fuera de servicio el smartwatch. Por ahora, la única solución para evitar este ataque es o ben desactivar cierto tipo de notificaciones o bien, que los chicos de Pebble la corrijan en la próxima actualización del firmware del smartwatch. De todas maneras, no tenemos constancia de ataques utilizando este sistema por lo que por ahora parece no estar siendo utilizado. Estaremos atentos a su solución.

Fuente vía Hispasec

Share

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.