В мобильном приложении для управления джакузи производства BWG отсутствовал механизм аутентификации пользователя.
Уязвимость в online-панели управления позволяет взломать джакузи и удаленно захватить над ней контроль. По словам исследователей, проблема затрагивает тысячи гидромассажных ванн. Специалисты британской ИБ-компании Pen Test Partners продемонстрировал в эфире телепередачи Click на канале BBC, как посторонний человек может удаленно получить контроль над джакузи и регулировать температуру воды, работу насосов и подсветку.
Управление настройками уязвимых джакузи осуществляется через мобильное приложение. Однако с помощью доступных баз данных Wi-Fi злоумышленники могут использовать данные GPS и перехватить управление.
По словам исследователей, информация из доступных источников (так называемых «баз данных вардрайвинга») позволяет взломать джакузи без какой-либо аутентификации. «Воздуходувки работают только тогда, когда кто-то сидит в ванне. То есть, хакер может вычислить, принимаете ли вы ванну, а это как-то жутковато», — отметил Кен Манро (Ken Munro) из Pen Test Partners.
Производитель уязвимых ванн Balboa Water Group (BWG) пообещал исправить уязвимость к концу февраля.
Представители BWG сообщили BBC, что были весьма удивлены, узнав об уязвимости. Приложением пользуются клиенты компании по всему миру уже в течение пяти лет, и ни одной жалобы пока не поступало.
В настоящее время производитель работает над реализацией в приложении системы аутентификации пользователя с помощью индивидуальных учетных данных. Ранее авторизация в приложении BWG не требовалась, поскольку компания хотела максимально упростить для пользователей управление настройками джакузи.
Манро назвал такой подход безответственным. «Безопасность потребительских IoT-устройств оставляет желать лучшего. Обнаруженная нами проблема еще раз это доказывает», — отметил эксперт.
Вардрайвинг – процесс поиска и взлома уязвимых точек доступа беспроводных сетей Wi-Fi с помощью переносного компьютера сWi-Fi-адаптером. Для пространственного поиска и локализации точки используется транспортное средство.
