İnternete bağlı jakuzilerdeki güvenlik kusurları, sahiplerinin kişisel verilerini ifşa etti – Teknolojik Haberler


Bir güvenlik araştırmacısı, Jacuzzi’nin SmartTub arayüzünde, her jakuzi sahibinin kişisel verilerine erişime izin veren güvenlik açıkları buldu.

Jakuzi’nin SmartTub özelliği, çoğu Nesnelerin İnterneti (IoT) sistemi gibi, kullanıcıların bir yardımcı Android veya iPhone uygulaması aracılığıyla jakuzilerine uzaktan bağlanmasına olanak tanır. “Kişisel jakuzi yardımcısı” olarak pazarlanan kullanıcılar, su sıcaklığını kontrol etmek, jetleri açıp kapatmak ve ışıkları değiştirmek için uygulamayı kullanabilir.

Ancak hacker Eaton Zveare tarafından belgelendiği gibi, bu işlev tehdit aktörleri tarafından dünya çapındaki jakuzi sahiplerinin adları ve e-posta adresleri de dahil olmak üzere kişisel bilgilerine erişmek için kötüye kullanılabilir. Potansiyel olarak kaç kullanıcının etkileneceği belli değil, ancak SmartTub uygulaması Google Play’de 10.000’den fazla indirildi.

Eaton ilk olarak üçüncü taraf kimlik sağlayıcı Auth0 kullanan SmartTub web arayüzünü kullanarak oturum açmaya çalıştığında bir sorun fark etti ve oturum açma sayfasının “yetkisiz” bir hata döndürdüğünü tespit etti. Ancak çok kısa bir an için Zveare, ekranında kullanıcı verileriyle dolu tam yönetici panelinin yanıp söndüğünü gördü.

“Göz kırp ve onu özleyeceksin. Onu yakalamak için bir ekran kaydedici kullanmak zorunda kaldım,” dedi Zveare. “Kullanıcı verileriyle dolu bir yönetici paneli olduğunu keşfetmek beni şaşırttı. Verilere bakıldığında, sadece ABD’den değil, birden fazla marka için bilgi var” Bu markalar arasında Sundance Spa, D1 Spas ve ThermoSpas dahil olmak üzere farklı Jakuzi markaları altındaki diğerleri yer alıyor.

Eaton daha sonra kısıtlamaları atlamaya ve tam erişim elde etmeye çalıştı. Web sitesine sıradan bir kullanıcı değil de bir yönetici olduğunu söyleyen bazı kodları ele geçirmek ve değiştirmek için Fiddler adlı bir araç kullandı. Baypas başarılı oldu ve Zveare’nin yönetici paneline tam olarak erişmesini sağladı.

“Yönetici paneline girdiğimde, izin verdiğim veri miktarı şaşırtıcıydı. Her kaplıcanın ayrıntılarını görebilir, sahibini görebilir ve hatta sahipliğini kaldırabilirim” dedi. “Tüm kullanıcı bilgilerini indirmek için bir komut dosyası oluşturmak önemsiz olurdu. Daha önce yapılmış olması mümkündür.”

Zveare, Android uygulamasının kaynak kodunu incelerken, ürünlerin seri numaralarını görüntülemesine ve değiştirmesine, lisanslı jakuzi bayilerinin listesini görmesine ve üretim günlüklerini görüntülemesine olanak tanıyan ikinci bir yönetici paneli keşfettiğinde işler daha da kötüleşti.

Zveare, 3 Aralık’ta kusurları keşfettikten birkaç saat sonra bir ilk bildirimle başlayarak, güvenlik açıkları konusunda onları uyarmak için Jacuzzi ile iletişime geçti. Zveare, üç gün sonra daha fazla ayrıntı isteyen bir yanıt aldı. Ancak bir ay boyunca iletişimin kesilmesinin ardından Zveare, savunmasız SmartTub yönetici panelini kapatan Auth0’ın yardımına başvurdu. İkinci yönetici paneli, Jakuzi’den sorunları ele aldıklarına dair resmi bir onay olmamasına rağmen, sonunda 4 Haziran’da düzeltildi.

Zveare, “Üç farklı Jacuzzi/SmartTub e-posta adresi ve Twitter üzerinden birden fazla iletişim denemesinden sonra, Auth0 devreye girene kadar bir diyalog kurulmadı” dedi. “O zaman bile, Jacuzzi/SmartTub ile iletişim, bildirilen tüm sorunları ele aldıklarına dair herhangi bir resmi sonuç veya onay olmaksızın sonunda tamamen kesildi.”

Zveare tarafından belirtildiği gibi, Jacuzzi, veri ihlali bildirimi ve Nesnelerin İnterneti güvenlik yasalarına sahip olan Kaliforniya’da kurulmuştur. İkincisi, bağlı cihazların üreticilerinin “makul güvenlik özelliği” içermesini gerektirir.[s]Kaliforniya’da satılan veya satışa sunulan bu tür tüm cihazlarda, özellikle doğrudan veya dolaylı olarak internete bağlanabilen cihazlarda.

Teknolojik Haberler yorum için Jacuzzi ile temasa geçti, ancak şirket yanıt vermedi.



Kaynak : https://techcrunch.com/2022/06/22/jacuzzi-flaws-admin-exposed-users/

Yorum yapın