Intelligente Whirlpools – ja, das ist eine Sache! – sind der neueste Ort im Internet für Cybersicherheits-Snafus.
Der in Florida ansässige Cybersicherheitsforscher Eaton Zveare war der erste, der das Internet of Tubs-Problem auf seinem dokumentierte Persönlicher Blog, nachdem er mit dem Fehler konfrontiert wurde, als er die internetfähige Funktionalität einer eigenen Badewanne der Marke Jacuzzi einrichtete. Was er schnell herausfand, war, dass diese intelligenten Funktionen auch Angreifern Zugang zu seinen persönlichen Daten verschaffen konnten – und zu den Daten vieler anderer SmartTub-Fans.
Unsere alltäglichen Geräte werden immer intelligenter, aber immer wenn etwas mit dem Internet verbunden ist, folgen dumme Sicherheitslücken. Wir haben Kaffeekannen gesehen Ransomware ausgesetztprivate Feeds von Babyphones online leckenoder irgendetwas auf der Internet of Shit Twitter-Feed. Die neueste Ergänzung des schändlichen Pantheons: der Jacuzzi SmartTub (und ein Haufen anderer).
Ja, der gesamte intelligente Apparat von Jacuzzi heißt buchstäblich SmartTub. Wie fast jeder andere IoT-Dienst ist SmartTub auf Komfort ausgelegt: Es ermöglicht Besitzern, sich mit einer zugehörigen Android- oder iOS-App mit ihren Wannen zu verbinden, und diese App hält diese Besitzer wiederum über Stromausfälle oder Systemprobleme auf dem Laufenden So können sie die Temperatur und die Düsen ihrer Wanne bequem von ihrem Handgerät aus ändern. Anscheinend ist die Funktion so beliebt, dass es über 10.000 Downloads für die SmartTub-App im Google Play Store gibt allein.
Aber als Zveare zum ersten Mal versuchte, ein eigenes Konto einzurichten Die Webseite Im Zusammenhang mit der Wannen-App bemerkte er etwas Seltsames; sein Bildschirm zeigte ihm eine Meldung an, dass er „nicht autorisiert“ sei, auf diese Seite zuzugreifen. Kurz bevor dieser Hinweis auftauchte, sah der Forscher jedoch einen kurzen Blick auf ein Admin-Panel, das randvoll mit persönlichen Daten von anderen Badewannenbesitzern war, die die App nutzten. Dazu gehörten Jacuzzi-Kunden wie er selbst, aber auch Leute mit anderen Smart Tubs der Marke Jacuzzi, wie Sundance Spa, D1 Spas und ThermoSpas.
G/O Media kann eine Provision erhalten
Laut Zveare war es ein echter „Wink and you’d miss it“-Moment. „Ich musste einen Bildschirmrekorder verwenden, um es aufzunehmen“, schrieb er.
Als sicherheitsbewusster Benutzer war Zveares erste Reaktion, es zu versuchen Büste die Website weit offen. Und er tat es (mit scheinbar relativer Leichtigkeit), indem er ein Tool namens Geiger um seinen Webverkehr zu optimieren und die TubSite davon zu überzeugen, dass er tatsächlich ein Administrator ist. Und weil Smart Tech wiederum oft ziemlich porös ist, funktionierte dieser Trick: Zveare erhielt Zugriff auf das gesamte Admin-Panel, das die Namen und E-Mail-Adressen von Tub-Besitzern auf der ganzen Welt enthielt.
„Sobald ich im Admin-Panel war, war die Menge an Daten, auf die ich Zugriff hatte, atemberaubend. Ich konnte die Details jedes Spas einsehen, seinen Besitzer sehen und sogar seinen Besitz entfernen“, schrieb er. „Es wäre trivial, ein Skript zum Herunterladen aller Benutzerinformationen zu erstellen. Es ist möglich, dass es bereits fertig ist.“
Wir haben Jacuzzi um einen Kommentar gebeten. Zveare tat das auch – laut seinem Blog wiederholt: zuerst, als er die Fehler im Dezember letzten Jahres entdeckte, dann wieder im Januar, dann wieder das ganze Jahr über. Als Reaktion darauf wechselte Jacuzzi zwischen der Bestätigung der E-Mails (aber ergriff keine weiteren Maßnahmen) und ihrer völligen Ignorierung, so Zveares Nacherzählung. Schließlich schaltete er einen Sicherheitsvertreter einer Firma namens Auth0 ein, die für die Login-Systeme verantwortlich war, die Jacuzzi verwendete. Dieses Unternehmen konnte Jacuzzi davon überzeugen, ein anfälliges Panel abzuschalten, aber weiter zu mauern Whirlpools Teil hinterließ ein zweites Panel ausgesetzt, schrieb Zveare.
Am Ende entschied sich Zveare jedoch, „zu überprüfen [that panel] zufällig“ in Vorbereitung darauf, dieses ganze Geschwätz in seinem Blog zu schreiben. Und am Ende sieht es aus wie Jacuzzi tat greifen Sie an der verbleibenden Platte fest, ohne es der Person zu sagen, die sie entdeckt hat.
Wird Jacuzzi dieses Datendebakel jemals zugeben? Aus seiner bisherigen Erfolgsbilanz würden wir das nicht erraten. Das heißt, die Marke Jacuzzi ist mit Sitz in Kalifornien, und dieser Staat hat Gesetze Sicherheitsstandards für IoT-Geräte sowie Gesetze, die diesen Staat vorschreiben Lass dich erinnern wenn ihre persönlichen Daten verletzt wurden.