Владелец «умного» джакузи взломал серверную часть всей сети — и смог управлять чужими ваннами
Он обнаружил уязвимость, которая давала ему доступ к личной информации всех владельцев «умных» гидромассажных ванн, управляемых SmartTubs.
Jacuzzi
Исследователь безопасности EatonWorks обнаружил уязвимость в системе SmartTub, которая позволяет дистанционно управлять гидромассажными ваннами бренда Jacuzzi — настраивать температуру, менять режимы фильтрации и уровень воды. Имея доступ к этим функциям, можно испортить чужой девайс.
Если включить нагрев до максимума и изменить циклы фильтрации, через несколько дней у вас будет горячий вонючий суп. Это не исправить никакими химикатами, придётся чистить всё вручную.
Кроме того, исследователь получил доступ к личным данным пользователей со всего мира, включая имя, фамилию и адрес электронной почты.
Программист впервые заметил проблему со SmartTub, когда сам попытался войти в систему как пользователь — и увидел, как на экране загрузки на секунду появилась панель администратора. Затем от него потребовалось «просто скачать JS-файл и изменить несколько строк».
Исследователь также смог взломать приложение SmartTub для Android, обнаружив URL-адрес, который давал им доступ к дополнительной панели администратора, в APK-файле.
EatonWorks неоднократно пытался связаться с Jacuzzi, чтобы сообщить об уязвимости, но его лишь просили прислать ещё больше данных, а то и вовсе игнорировали. Впрочем, по его наблюдениям, уязвимости все же устранили к июню 2022 года.
#взломы #хакеры #устройства