Как слить в джакузи свои личные данные

Ср 22 Июнь 2022 15:19

20 июня исследователь безопасности EatonWorks обнаружил уязвимость в ПО смарт-джакузи компании Jacuzzi Brands LLC. Умные джакузи могут подключаться к интернету и содержат функцию «SmartTub», позволяющую пользователям удаленно подключаться к спа.

С помощью SmartTub и приложения для Android и iOS пользователь может управлять светом, струёй и системой фильтрации, а также установить температуру воды и даже отправлять производителю диагностические данные. Сервис также интегрируется с Alexa, Google Assistant, Google Wear OS и Apple Watch.

Проблемы с безопасностью возникли при попытке войти в SmartTub с помощью менеджера паролей. В этот момент специалист был перенаправлен на веб-сайт, на котором было указано, что пользователь не авторизован. Eaton обошел ограничения и получил доступ к сайту с помощью программы Fiddler.

На сайте находилась панель администратора, заполненная пользовательскими данными. «Я мог просмотреть детали каждого джакузи, увидеть и даже удалить информацию о владельце спа», — объяснил исследователь.

Специалист сообщил Jacuzzi Brands LLC о проблеме в декабре 2021 года, а 4 июня 2022 года компания полностью исправила ошибку. «Это стандартный взлом IoT, и мы можем ожидать сотни тысяч таких атак в ближайшее десятилетие», — сказал IT-евангелист обучающей ИБ-компании KnowBe4 Inc Роджер Граймс.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 94 дня 10 часов 22 минуты 36 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.