Se
ha detectado una vulnerabilidad que puede permitir a un atacante remoto borrar todos
los datos del "smartwatch" (reloj
inteligente) Pebble.
Pebble
Smartwatch, desarrollado el año pasado por Pebble Technology Corporation, es
un
smartwatch que puede conectarse con un móvil iOS o Android y interactuar con
el reloj como si se operara con el móvil. De esta forma se pueden recibir y realizar
llamadas, sms, mensajes de Factbook, whatsapp, etc. Su lanzamiento se realizó a
través de una campaña de financiación masiva ("
crowdfunding") en Kickstarter. Apenas dos horas después lanzar
la campaña ya había recaudado más de 100.000 dólares y sumó un total de más de 10
millones de dólares entre 70.000 suscriptores. El año pasado vendió más de
400.00 unidades.
El problema, anunciado por Hemanth
Joseph, afecta a todos los Pebble (probado con la última versión del firmware
v2.4.1) y puede ser explotado de forma remota por cualquiera sin conocimiento técnico
y puede permitir el borrado de todos los datos almacenados en el reloj,
configuración, aplicaciones, mensajes, notas, etc.
Para cada mensaje que recibe el
reloj de Whatsapp, Facebook Messenger o aplicaciones similares Pebble emite una
alerta con el mensaje completo mostrado en la pantalla. El problema reside en
que no existe un límite para mostrar estos mensajes. Incluso si el mensaje es
muy largo (más de 100 palabras) Pebble mostrará el mensaje completo en la
pantalla, evidentemente demasiado pequeña para mostrar un mensaje de gran
tamaño. Tras esto, es fácil pensar en un bloqueo del reloj se se le obliga a
mostrar un gran número de mensajes seguidos.
Con un envío masivo de 1.500
mensajes de Whatsapp en 5 segundos la pantalla se llena de líneas, tras lo que el dispositivo se apaga automáticamente
y sorprendentemente procede a restaurar los datos de fábrica ("Factory Reset"). Sin ninguna
interacción por el usuario. Evidentemente una vez que se restauran los datos de
fábrica se pierde toda la información que se mantenía en el reloj, incluyendo datos,
aplicaciones, configuraciones, etc.
El mismo efecto se consigue
bajando el número de mensajes a 300 en 5 segundos. Cualquier persona con el
Facebook, el número de móvil, correo o cualquier datos similar podrá borrar
todos los datos del reloj con este sencillo ataque. Sin pensar que el ataque
repetido con una determinada frecuencia puede convertir el reloj en algo
totalmente inútil.
Esta vulnerabilidad da una
muestra de la importancia de la seguridad en los dispositivos "wearables" (relojes, pulseras,
gafas, ropa y otros objetos inteligentes… ). Sin duda según se popularicen cada
vez aparecerán más vulnerabilidades nuevas y incluso nuevos tipos de problemas,
que abrirán un nuevo camino a la investigación y desarrollo.
Más información:
DoSing Pebble SmartWatch And Thus Deleting All
Data Remotely
Pebble sold 400,000 smartwatches last year, on
track to double revenues in 2014
Pebble
Antonio Ropero
