Злоумышленники могут взломать тысячи джакузи

Уязвимость в online-панели управления позволяет взломать джакузи и удаленно захватить над ней контроль. По словам исследователей, проблема затрагивает тысячи гидромассажных ванн.

Специалисты британской ИБ-компании Pen Test Partners продемонстрировал в эфире телепередачи Click на канале BBC, как посторонний человек может удаленно получить контроль над джакузи и регулировать температуру воды, работу насосов и подсветку.

Управление настройками уязвимых джакузи осуществляется через мобильное приложение. Однако с помощью доступных баз данных Wi-Fi злоумышленники могут использовать данные GPS и перехватить управление.

По словам исследователей, информация из доступных источников (так называемых «баз данных вардрайвинга») позволяет взломать джакузи без какой-либо аутентификации. «Воздуходувки работают только тогда, когда кто-то сидит в ванне. То есть, хакер может вычислить, принимаете ли вы ванну, а это как-то жутковато», - отметил Кен Манро (Ken Munro) из Pen Test Partners.

Производитель уязвимых ванн Balboa Water Group (BWG) пообещал исправить уязвимость к концу февраля.

Представители BWG сообщили BBC, что были весьма удивлены, узнав об уязвимости. Приложением пользуются клиенты компании по всему миру уже в течение пяти лет, и ни одной жалобы пока не поступало.

В настоящее время производитель работает над реализацией в приложении системы аутентификации пользователя с помощью индивидуальных учетных данных. Ранее авторизация в приложении BWG не требовалась, поскольку компания хотела максимально упростить для пользователей управление настройками джакузи.

Манро назвал такой подход безответственным. «Безопасность потребительских IoT-устройств оставляет желать лучшего. Обнаруженная нами проблема еще раз это доказывает», - отметил эксперт.

Вардрайвинг – процесс поиска и взлома уязвимых точек доступа беспроводных сетей Wi-Fi с помощью переносного компьютера сWi-Fi-адаптером. Для пространственного поиска и локализации точки используется транспортное средство.