В «умных» часах Pebble обнаружена критическая уязвимость

В наручных «умных» часах компании Pebble, которые способны подключаться к смартфонам владельцев на базе iOS или Android, обнаружена критическая уязвимость.

Она была найдена независимым исследователем Химном Джозефом (Hemanth Joseph) в актуальной версии прошивки 2.4.1. По его словам, брешь позволяет удаленному злоумышленнику, не обладающему специальными техническими знаниями, удалить всю информацию, хранящуюся на устройстве, включая заметки, контакты и приложения.

Как следует из сообщения в блоге исследователя, проблема заключается в том, что устройство не способно корректно обрабатывать большое количество входящих сообщений. Речь идет об уведомлениях из социальных сетей, которые отображаются на дисплее часов при синхронизации со смартфоном с соответствующими приложениями.

В результате проведения тестов Джозеф выяснил, что при получении 300 таких сообщений в течение 5 секунд Pebble аварийно завершают свою работу и автоматически выполняют так называемую жесткую перезагрузку или аппаратный сброс, при котором восстанавливаются заводские параметры и очищается вся системная информация.

Отвечая на просьбу о выпуске исправления уязвимости, разработчики часов пояснили, что отключить автоматическое выполнение аппаратного сброса невозможно. Это связано с тем, что при такой DoS-атаке обычная перезагрузка устройства не эффективна.

Устройство впервые появилось на рынке в 2013 году и с тех пор стало одним из наиболее популярных представителей своего класса. Более того, организованная на Kickstarter кампания по сбору средств стала самым финансируемым проектом в истории web-сайта. Всего два часа спустя после старта требуемая для производства сумма была превышена на $100 тысяч. В конечном итоге компания Pebble Technology Corporation получила более $10 миллионов от 70 тысяч пользователей.