Исследователь безопасности из EatonWorks обнаружил уязвимость там, где её не ждали, — в системе SmartTub, предназначенной для дистанционного управления гидромассажными ваннами компании Jacuzzi. Это позволило хакеру получить удалённый доступ к чужим ванным.
Система SmartTub позволяет удалённо настраивать температуру в гидромассажных ваннах бренда Jacuzzi, а также менять режимы фильтрации и уровень воды. Сотрудник EatonWorks во время авторизации заметил в ней уязвимость. Так, на экране загрузки на мгновение появилась панель администратора. Решив разобраться в этом, он скачал JS-файл. Путём изменения всего нескольких строк кода он смог получить практически безграничные возможности.
Теоретически, злоумышленник может удалённо включить в джакузи жертвы нагрев до максимума и изменить циклы фильтрации. Как результат, всего через несколько дней ванная наполнится жидкостью, запах от которой не устранить никакими химикатами. Кроме того, эксплойт даёт доступ к личным данным всех пользователей, включая их имя, фамилию и адрес электронной почты.
Специалист также смог взломать приложение SmartTub для Android, обнаружив URL-адрес, который давал ему доступ к дополнительной панели администратора в APK-файле. Позже он пытался неоднократно связаться с компанией Jacuzzi, чтобы сообщить об уязвимости, но его лишь просили прислать ещё больше данных, а то и вовсе игнорировали. Однако, по его наблюдениям, уязвимости всё же устранили к июню 2022 года. Сотрудник EatonWorks уверяет, что ему известно о ряде других ошибок, поэтому он просит сотрудников Jacuzzi всё же связаться с ним. Все подробности можно почитать по ссылке.