
Владелец «умного» джакузи взломал приложение и получил доступ ко всем гидромассажным ваннам аналогичной фирмы.
Об этом рассказал исследователь кибербезопасности EatonWorks. Уязвимость в системе SmurtTub предоставила личные данные всех пользователей бренда Jacuzzi и возможность управлять их гидромассажными ваннами. Имея доступ к этим данным, настраивать температуру, менять режимы фильтрации, уровень воды или просто сломать дорогое устройство.
EatonWorks рассказывает, чем подобный взлом может закончиться:
«Если максимально включить нагрев и изменить циклы фильтрации, через несколько дней у вас будет горячий вонючий суп. Это не вывести никакими химическими средствами. Только вручную».
Программист заметил уязвимость, когда попытался войти в систему как пользователь. На экране загрузки на мгновение появился доступ к панели администратора. Потом он «просто скачал JS-файл и изменил несколько строк».
Исследователь также смог взломать приложение SmartTub для Android, обнаружив URL-адрес, который давал им доступ к дополнительной панели администратора, в APK-файле.
EatonWorks пытался поделиться находкой с разработчиками Jacuzzi и рассказать об уязвимости, но его просили прислать больше подробностей или вовсе игнорировали. В дальнейшем уязвимость все же устранили к июню 2022 года.