Обнаружена уязвимость в ПО смарт-джакузи, которые хранят личные данные владельцев
20 июня исследователь безопасности EatonWorks обнаружил уязвимость в ПО смарт-джакузи компании Jacuzzi Brands LLC. Умные джакузи могут подключаться к интернету и содержат функцию «SmartTub», позволяющую пользователям удаленно подключаться к спа.
С помощью SmartTub и приложения для Android и iOS пользователь может управлять светом, струёй и системой фильтрации, а также установить температуру воды и даже отправлять производителю диагностические данные. Сервис также интегрируется с Alexa, Google Assistant, Google Wear OS и Apple Watch.
Проблемы с безопасностью возникли при попытке войти в SmartTub с помощью менеджера паролей. В этот момент специалист был перенаправлен на веб-сайт, на котором было указано, что пользователь не авторизован. Eaton обошел ограничения и получил доступ к сайту с помощью программы Fiddler.
На сайте находилась панель администратора, заполненная пользовательскими данными. «Я мог просмотреть детали каждого джакузи, увидеть и даже удалить информацию о владельце спа», — объяснил исследователь.
Специалист сообщил Jacuzzi Brands LLC о проблеме в декабре 2021 года, а 4 июня 2022 года компания полностью исправила ошибку. «Это стандартный взлом IoT, и мы можем ожидать сотни тысяч таких атак в ближайшее десятилетие», — сказал IT-евангелист обучающей ИБ-компании KnowBe4 Inc Роджер Граймс.
Ладно, не доказали. Но мы работаем над этим