Aanval op Pebble-smartwatch kan alle data wissen

Een beveiligingslek in de Pebble smartwatch zorgt ervoor dat iemand op afstand al jouw data en apps kan wissen. Het enige wat een aanvaller hoeft te weten is jouw mobiele nummer of Facebook-ID.

Gonny van der Zwaag | iCulture.nl - 23 augustus 2014, 10:15
· Laatst bijgewerkt: 11:27

Het blijkt mogelijk om alle data op een Pebble-smartwatch te wissen, zo heeft een onderzoeker aangetoond. Een kwetsbaarheid geeft aanvallers de mogelijkheid om op afstand toegang te krijgen tot het (toch niet zo slimme) horloge, waarna alle data kan worden gewist. De Pebble kan een notificatie geven als er een bericht van WhatsApp, Facebook of andere gekoppelde diensten binnenkomt en probeert dan het hele bericht weer te geven op het horlogescherm. Volgens onderzoeker Hemanth Joseph zit er geen limiet aan het aantal karakters dat het horloge probeert weer te geven. Bij een bericht van meer dan 100 woorden zal de Pebble toch proberen om het hele bericht op het scherm te tonen. Dat maakt het horloge kwetsbaar voor aanvallen, door heel veel lange berichten naar het horloge te sturen.

Uiteraard is dat precies wat Joseph heeft gedaan: hij verstuurde een berichtenbom van meer dan 1.500 WhatsApp-berichten in 5 seconden. Het hele scherm werd gevuld met ruis, waarna het horloge zichzelf automatisch uitschakelde en terug ging naar de fabrieksinstellingen. Joseph hoefde daar zelf geen acties voor uit te voeren. Hetzelfde gebeurde toen hij het aantal berichten verminderde naar 300 stuks in 5 seconden. Als iemand jouw Facebook-ID of mobiele nummer weet, kan hij op afstand alle data op je Pebble wissen. In de praktijk zal dat niet meteen rampzalig zijn, want alle data die op de Pebble staat is afkomstig van je smartphone en van online diensten, dus je raakt niets kwijt. Maar het is wel knap vervelend, omdat je alle apps weer opnieuw moet installeren en alle instellingen moet terugzetten.

De onderzoeker heeft ook een eenvoudige oplossing: Pebble moet gewoon een limiet stellen aan het aantal karakters en het aantal berichten dat je in korte tijd naar een Pebble kan sturen. Ook zou Pebble het automatische terugzetten naar de fabrieksinstellingen moeten oplossen. Het probleem werd ontdekt in de meest recente versie van de Pebble-firmware (2.4.1). Het onleesbaar worden van het Pebble-scherm kan ook voorkomen door een normaal defect in de smartwatch. In dat geval kun je een beroep doen op de garantie.

De Pebble is een smartwatch, die dankzij een succesvolle Kickstarter-campagne een vliegende start maakte. Er werd meer dan 10 miljoen dollar opgehaald en er werden meer dan 400.000 horloges verkocht. Tegenwoordig is de Pebble gewoon verkrijgbaar in Nederlandse winkels.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!