Akıllı jakuzi yazılımındaki güvenlik sorunu, kullanıcı verilerini ortaya çıkarır



Bir araştırmacı, akıllı jakuziler tarafından kullanılan yazılımda bir güvenlik sorunu buldu – internete bağlanan jakuziler veya bir sallama koydubir “sıcak küvet suç makinesi” – kullanıcı verilerini ortaya çıkarır.

Detaylı Güvenlik araştırmacısı EatonWorks tarafından Pazartesi günü, güvenlik sorunu, önde gelen bir jakuzi ve spa üreticisi olan Jacuzzi Brands LLC tarafından üretilen modellerde kullanılan yazılımda bulundu. Şirketin akıllı jakuzileri, kullanıcıların jakuziye uzaktan bağlanmasını sağlayan bir “SmartTub” özelliği sunuyor.

SmartTub iki öğeden oluşur: küvetin içinde, jakuziye erişebilen ve kontrol edebilen hücre veri alımına sahip bir modül ve bir Android ve iOS uygulaması. Küvet her zaman merkezi bir sunucuya bağlıdır ve durum güncellemeleri ve ışıkları ve jetleri açma, su sıcaklığını ayarlama ve diğer özellikler gibi komutlar için listeler sağlar. Hizmet ayrıca Alexa, Google Asistan, Google Wear OS ve Apple Watch ile entegre olur.

Güvenlik sorunları ilk olarak, çevrimiçi olarak tek bir adla yaşıyor gibi görünen Eaton’ın bir parola yöneticisi kullanarak SmartTub’a giriş yapmaya çalışması, ancak bunun yerine giriş yetkisi olmadığını belirten yanlış web sitesine götürülmesiyle ortaya çıktı. Eaton, “Bu mesaj görünmeden hemen önce ekranımda bir başlık ve tablonun kısa bir süre yanıp söndüğünü gördüm” diye yazdı. “Kullanıcı verileriyle dolu bir yönetici paneli olduğunu keşfetmek beni şaşırttı.”

Verileri keşfettikten sonra, Eaton kısıtlamaları atlamaya ve Fiddler adlı bir programı kullanarak web sitesine yönetici olduklarını söyleyen bazı kodları ele geçirmek ve değiştirmek için erişim elde etmeye çalıştı. Baypas başarılı oldu ve bulunan veri miktarı şaşırtıcı olarak tanımlandı. Eaton, “Her spa’nın ayrıntılarını görebilir, sahibini görebilir ve hatta sahipliğini kaldırabilirim” dedi.

Neyse ki, Eaton etik bir bilgisayar korsanıdır ve ortaya çıkarılan verileri çalmadı veya manipüle etmedi. Jacuzzi Brands, güvenlik sorunu hakkında ilk olarak Aralık ayı başlarında bilgilendirildi ve sorun nihayet 4 Haziran’da çözüldü. Eaton, sorunu çözmek için harekete geçtilerse de e-postalarına yanıt verilmemesi de dahil olmak üzere şirketle devam eden iletişim sorunlarını açıklıyor.

Güvenlik bilinci eğitim şirketinde veriye dayalı savunma savunucusu Roger Grimes, “Bu, bir bakıma standart bir IoT hack’iydi ve önümüzdeki on yılda yüz binlercesini bekleyebiliriz,” dedi. KnowBe4 Inc., dedi SiliconANGLE. “Nihai sorun, yönetici kimlik bilgilerinin atlanabileceği, güvenliği düşük bir yönetici konsolu web sitesiydi. Bu çok yaygın bir güvenlik açığı türüdür ve web sitesi herhangi bir tür güvenlik kodu incelemesine veya kalem testine tabi tutulmuş olsaydı, yakalanırdı ve insanların verileri ele geçirilmeden önce düzeltilebilirdi.”

Grimes, daha ilgili kısmın, ilgili satıcı tarafından hatanın çözülmesinin ne kadar sürdüğü olduğunu ekledi.

Grimes, “Onlarla tekrar tekrar iletişim kuruyor, gecikiyor, görmezden geliniyor ve tekrar deniyor,” diye açıklıyor Grimes. “Bir hata bulucunun bir hatayı bildirmesi ve bu satıcının hatayı kabul etmesini, hata bulucuya teşekkür etmesini ve hatanın düzeltilmesini sağlaması o kadar zor olmamalı. Her zaman buglar olacaktır. Uzun vadede en önemli olan, satıcının rapor edildiğinde nasıl tepki verdiğidir.”

Resim: Jakuzi Markaları

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.





Kaynak : https://siliconangle.com/2022/06/21/security-issue-smart-jacuzzi-software-exposes-user-data/

Yorum yapın