Je ne suis pas très montre. Je n’en porte pas, je n’en possède pas… Ce temps qui passe c’est l’angoisse mais je me souviens très bien des montres Pebble qui avec leur écran e-ink tenaient des semaines sur une charge et qui ont carrément démocratisé le concept de smartwatch grand public dès 2012.

Hé bien good news, le fondateur Eric Migicovsky a décidé de les ressusciter sauf que c’est en train de tourner au vinaigre avec les bénévoles qui ont maintenu l’écosystème durant 9 ans.

Pour ceux qui ont raté tout le feuilleton, après la faillite de Pebble en 2016 et le rachat par Fitbit (puis Google), une communauté de passionnés appelée Rebble s’est formée pour sauver les meubles. Ils ont récupéré les données de l’App Store, monté une infrastructure de serveurs, financé des développements… Bref, ils ont maintenu en vie un écosystème que tout le monde avait abandonné.

Puis en janvier 2025, Google a ouvert le code source de PebbleOS et Migicovsky a sauté sur l’occasion et a lancé sa boîte Core Devices en mars pour vendre de nouvelles montres Pebble : La Pebble 2 Duo à 149$ et la Pebble Time 2 à 225$. D’ailleurs, 70% des premières unités ont déjà été livrées. Bref, jusque là, tout va bien.

Sauf que Rebble accuse maintenant Core Devices de piller leur travail sans compensation. Selon ce qu’ils racontent leur blog , Migicovsky aurait “scrapé leurs serveurs” le jour même où il devait les rencontrer pour discuter partenariat. Rebble affirme avoir investi des centaines de milliers de dollars pour maintenir l’App Store et les services backend… et Core voudrait un accès illimité à tout ça pour potentiellement créer un App Store concurrent propriétaire.

La bibliothèque mobile libpebble3 utilisée par l’app Core Devices s’appuie notamment sur du code que Rebble a financé via son programme de subventions. Et c’est pareil pour le portage Bluetooth open source vers PebbleOS puisque c’est Rebble qui a payé les devs. Et bien sûr quand ils demandent un engagement écrit que Core ne créera pas un store concurrent… C’est silence radio.

Migicovsky a ensuite répondu sur son blog perso histoire de se justifier. Il nie tout vol et affirme que 90% du code de libpebble3 a été écrit par Core Devices, et pas par la communauté. Et pour le scraping, il explique qu’il construisait juste une petite webapp pour afficher ses watchfaces préférées et que ça n’a rien téléchargé de substantiel.

Et il contre-attaque en accusant Rebble de vouloir créer un pré-carré bien verrouillé emprisonnant les 13 000 et quelques applications que des développeurs indépendants ont créées. Rebble revendiquerait 100% des données de l’App Store alors qu’ils ne sont que l’hébergeur…

Alors qui croire ? Difficile à dire mais la bonne nouvelle c’est que Core Devices a ouvert les schémas électriques et mécaniques de la Pebble 2 Duo sur GitHub et bientôt, l’installation d’apps se fera via un système de feeds multiples, un peu comme les gestionnaires de paquets open source. Chacun pourra alors choisir son store.

Reste à savoir si les deux camps arriveront à s’entendre puisque Rebble a apparemment fait marche arrière sur certaines revendications, notamment sur la propriété du contenu hébergé. Mais le climat de confiance est sérieusement entamé et pour la communauté qui a bossé durement et gratos pendant 9 ans pour sauver tout écosystème… c’est sûr que ça fait mal de voir le fondateur original débarquer et se servir OKLM.

Après pour ceux d’entre vous qui ont une Pebble ou qui lorgnent sur les nouvelles, surveillez le subreddit r/pebble et le Discord Rebble car c’est là que tout ça se passe.

Source

Comment une simple manipulation de votre literie pouvait améliorer votre sommeil, réduire votre facture de chauffage et sauver vos vertèbres cet hiver ?

L’article Avez-vous pensé à retourner votre matelas avant l’hiver pour économiser du chauffage ?, rédigé par Nathalie Kleczinski, est apparu en premier sur NeozOne.

ImunifyAV, le scanner AV qui protège 56 millions de sites Linux, vient de se faire pwn par le malware qu’il essayait de détecter. Et c’est pas la première fois…

En effet, Patchstack vient de révéler une faille RCE critique dans ImunifyAV, qui je le rappelle est un scanner antivirus gratuit ultra répandu dans l’hébergement mutualisé. Le problème en fait c’est que AI-bolit, le composant qui déobfusque le code PHP malveillant pour l’analyser, utilise la fonction call_user_func_array sans vérifier les noms de fonctions qu’elle exécute.

Boooh ! Du coup, vous uploadez un fichier PHP malveillant spécialement conçu pour l’occasion par un attaquant, ImunifyAV le scanne pour voir si c’est un malware, le déobfusque pour comprendre ce qu’il fait, et hop, le code malveillant s’exécute avec les privilèges du scanner.

Game over.

Hé pour qu’un antimalware détecte un virus, il doit analyser son code mais si les cybercriminels obfusquent leur malware pour cacher le code, l’antimalware doit alors le déobfusquer avant d’analyser. Mais déobfusquer du code PHP, ça veut dire aussi l’exécuter partiellement pour voir ce qu’il fait vraiment… d’où cette RCE.

La faille affecte donc toutes les versions avant la 32.7.4.0 et le correctif apporte juste une fonctionnalité de whitelist de fonctions autorisées pendant la déobfuscation. Il était temps, même si maintenir une whitelist de fonctions safe, à terme c’est un cauchemar car y’a des centaines de fonctions dans PHP. Certaines sont safe seules mais dangereuses combinées et je pense que les cybercriminels trouveront toujours un moyen de contourner cette whitelist.

En tout cas, comme je le laissais entendre en intro, c’est pas la première fois qu’AI-bolit se fait avoir sur la déobfuscation. En 2021, Talos avait déjà trouvé une faille sur unserialize dans le même composant. C’est la même blague car pour analyser du code malveillant sérialisé, il faut le désérialiser. Et désérialiser du contenu malveillant sans validation, ça fait “pwn” !

Voilà, 2 fois en 4 ans sur le même composant, c’est pas ce que j’appelle un accident. C’est un problème structurel car détecter du malware sans l’exécuter, c’est quasi impossible avec du code dynamique. Les signatures statiques ça marche bien pour les virus classiques mais face à du PHP obfusqué qui se reconstruit à l’exécution, vous êtes obligé de lancer le code pour voir ce qu’il fait vraiment. Et là, on est forcement en zone grise…

Même si on exécute du code potentiellement malveillant dans un environnement censé être isolé, si celui-ci “fuit” ou si le code malveillant trouve un moyen de sortir de la sandbox, vous avez une RCE. Et comme ImunifyAV tourne avec les privilèges nécessaires pour scanner tous les fichiers d’un serveur mutualisé, si vous compromettez cet antivirus, vous avez potentiellement accès à tous les sites hébergés sur la machine.

Si vous voulez tester, voici le proof of concept :

<?php
$data = "test";

$payload = "\x73\x79\x73\x74\x65\x6d"("\x74\x6f\x75\x63\x68\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74\x20\x26\x26\x20\x65\x63\x68\x6f\x20\x22\x44\x45\x46\x2d\x33\x36\x37\x38\x39\x22\x20\x3e\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74");
eval("\x70\x61\x63\x6b"($payload));
?>

php ai-bolit.php -y -j poc.php

Et si cet hiver, votre lit devenait chauffant, connecté et capable d’éliminer les acariens pour moins de 30 € ?

L’article Xiaomi dévoile une étonnante couverture chauffante anti-acariens à moins de 30 €, rédigé par Méline Kleczinski, est apparu en premier sur NeozOne.