Программист сумел взломать умные джакузи по всему миру
Программист сумел взломать умные джакузи по всему миру

Программист сумел взломать умные джакузи по всему миру

Исследователь безопасности из EatonWorks обнаружил уязвимость там, где её не ждали, — в системе SmartTub, предназначенной для дистанционного управления гидромассажными ваннами компании Jacuzzi. Это позволило хакеру получить удалённый доступ к чужим ванным.

Система SmartTub позволяет удалённо настраивать температуру в гидромассажных ваннах бренда Jacuzzi, а также менять режимы фильтрации и уровень воды. Сотрудник EatonWorks во время авторизации заметил в ней уязвимость. Так, на экране загрузки на мгновение появилась панель администратора. Решив разобраться в этом, он скачал JS-файл. Путём изменения всего нескольких строк кода он смог получить практически безграничные возможности.

Теоретически, злоумышленник может удалённо включить в джакузи жертвы нагрев до максимума и изменить циклы фильтрации. Как результат, всего через несколько дней ванная наполнится жидкостью, запах от которой не устранить никакими химикатами. Кроме того, эксплойт даёт доступ к личным данным всех пользователей, включая их имя, фамилию и адрес электронной почты.

Специалист также смог взломать приложение SmartTub для Android, обнаружив URL-адрес, который давал ему доступ к дополнительной панели администратора в APK-файле. Позже он пытался неоднократно связаться с компанией Jacuzzi, чтобы сообщить об уязвимости, но его лишь просили прислать ещё больше данных, а то и вовсе игнорировали. Однако, по его наблюдениям, уязвимости всё же устранили к июню 2022 года. Сотрудник EatonWorks уверяет, что ему известно о ряде других ошибок, поэтому он просит сотрудников Jacuzzi всё же связаться с ним. Все подробности можно почитать по ссылке.

Джерело матеріала
loader
loader