Владелец «умного» джакузи взломал приложение и получил доступ ко всем гидромассажным ваннам аналогичной фирмы.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Об этом рассказал исследователь кибербезопасности EatonWorks. Уязвимость в системе SmurtTub предоставила личные данные всех пользователей бренда Jacuzzi и возможность управлять их гидромассажными ваннами. Имея доступ к этим данным, настраивать температуру, менять режимы фильтрации, уровень воды или просто сломать дорогое устройство. 

EatonWorks рассказывает, чем подобный взлом может закончиться: 

«Если максимально включить нагрев и изменить циклы фильтрации, через несколько дней у вас будет горячий вонючий суп. Это не вывести никакими химическими средствами. Только вручную».

Программист заметил уязвимость, когда попытался войти в систему как пользователь. На экране загрузки на мгновение появился доступ к панели администратора. Потом он «просто скачал JS-файл и изменил несколько строк».
Исследователь также смог взломать приложение SmartTub для Android, обнаружив URL-адрес, который давал им доступ к дополнительной панели администратора, в APK-файле.
EatonWorks пытался поделиться находкой с разработчиками Jacuzzi и рассказать об уязвимости, но его просили прислать больше подробностей или вовсе игнорировали. В дальнейшем уязвимость все же устранили к июню 2022 года.