Кібербезпека

Власник «розумного» джакузі зламав серверну частину всієї мережі

1

Дослідник безпеки EatonWorks виявив уразливість у системі SmartTub, яка дозволяє дистанційно керувати гідромасажними ваннами бренду Jacuzzi – налаштовувати температуру, змінювати режими фільтрації та рівень води. Маючи доступ до цих функцій, можна зіпсувати чужий девайс.

Якщо увімкнути нагрівання до максимуму і змінити цикли фільтрації, через кілька днів у вас буде гарячий смердючий суп. Це не виправити ніякими хімікатами, доведеться чистити все вручну.

EatonWorks

Крім того, дослідник отримав доступ до особистих даних користувачів з усього світу, включаючи ім’я, прізвище та адресу електронної пошти.

Програміст вперше помітив проблему зі SmartTub, коли сам спробував увійти в систему як користувач і побачив, як на екрані завантаження на секунду з’явилася панель адміністратора. Потім від нього потрібно «просто завантажити JS-файл і змінити кілька рядків».

Дослідник також зміг зламати програму SmartTub для Android, виявивши URL-адресу, яка давала їм доступ до додаткової панелі адміністратора, в APK-файлі.

EatonWorks неодноразово намагався зв’язатися з Jacuzzi, щоб повідомити про вразливість, але його лише просили надіслати ще більше даних, а то й зовсім ігнорували. Втім, за його спостереженнями, вразливості все ж таки усунули до червня 2022 року.

Comments

Comments are closed.