Исследователь взломал умные джакузи по всему миру27.06.2022 12:17

Исследователь безопасности из EatonWorks обнаружил уязвимость в системе SmartTub, которая предназначена для дистанционного управления гидромассажными ваннами компании Jacuzzi. В итоге он смог получить удалённый доступ к ванным по всему миру. 

844b3ba945aca30b035977ea4e39b059.jpg

Система SmartTub позволяет регулировать температуру в гидромассажных ваннах бренда Jacuzzi, а также менять режимы фильтрации и уровень воды. 

Исследователь выяснил, что во время авторизации в SmartTub на экране загрузки на мгновение появляется панель администратора. Тогда он скачал JS-файл и изменил несколько строк кода.

7e32e744f530b10ccd328c18abf59af0.JPG

Исследователь отметил, что на smarttub.io размещено одностраничное приложение (SPA), созданное с использованием React. Он загрузил пакет JavaScript и искал «неавторизованные» экземпляры.

64179cc6944e882c1b00f7b8e2c38a80.JPG

Приложение проверяет, является ли пользователь администратором, но, если это не так, его перенаправляют на проверку isAdmin:

2f9f4694ed6470a1ae63137eaaf624e5.JPG

Логин работает, отправляя имя пользователя и пароль на Auth0. В случае успеха возвращаются токены доступа и идентификатора. Затем токен доступа отправляется в конечную точку Auth0 /userinfo, и возвращается эта информация:

0fda94c7b327d80307e1d95cf6264968.JPG

Она содержит список ролей, и isAdmin проверяет, есть ли там Admin. Но ответ HTTP можно перехватить для добавления отсутствующей роли администратора. Исследователь использовал Fiddler для соответствующего изменения HTTP-ответа и, наконец, смог получить полный доступ к панели администратора.

0735380c50629b36c0ba515517dc3cc1.JPG

Как указывает автор работы, теоретически злоумышленник может удалённо включить в джакузи жертвы нагрев до максимума или изменить циклы фильтрации. В итоге всего через несколько дней ванная наполнится жидкостью, запах от которой нельзя вывести никакими химикатами. 

5a96c7988ecef392e190ce2ac518b12f.JPG

Более того, данный эксплойт даёт доступ к личным данным всех пользователей, включая их имена, фамилии и адреса электронной почты. 

2ba95ac135aa6a94908f7697ed54f79b.JPG

Специалист также взломал приложение SmartTub для Android, обнаружив URL-адрес, который давал ему доступ к дополнительной панели администратора в APK-файле. 

Исследователь пытался неоднократно связаться с компанией Jacuzzi, чтобы сообщить об уязвимости, но его сначала попросили прислать ещё больше данных, а потом игнорировали. Однако он выяснил, что уязвимости устранили к июню 2022 года. 

При этом сотрудник EatonWorks говорит, что знает и о других ошибках, поэтому он просит сотрудников Jacuzzi всё же связаться с ним. 

© Habrahabr.ru