一位安全研究人员在 Jacuzzi 的 SmartTub 界面中发现了漏洞,这些漏洞允许访问每个热水浴缸所有者的个人数据。
与大多数物联网(IoT) 系统一样,按摩浴缸的 SmartTub 功能允许用户通过配套的 Android 或 iPhone 应用程序远程连接到他们的热水浴缸。作为“个人热水浴缸助手”销售,用户可以使用该应用程序来控制水温、打开和关闭喷嘴以及改变灯光。
但正如黑客 Eaton Zveare 所记录的那样,威胁参与者也可能滥用此功能来访问全球热水浴缸所有者的个人信息,包括他们的姓名和电子邮件地址。目前尚不清楚有多少用户可能受到影响,但 SmartTub 应用程序已在 Google Play 上下载超过 10,000 次。
伊顿在尝试使用第三方身份提供商 Auth0的 SmartTub 网页界面登录时首先注意到一个问题,发现登录页面返回“未授权”错误。但在最短暂的时刻,Zveare 在他的屏幕上看到了充满用户数据的完整管理面板。
“眨眼你就会错过它。我不得不使用屏幕录像机来捕捉它,”Zveare 说。 “我惊讶地发现它是一个包含用户数据的管理面板。查看数据,有多个品牌的信息,而不仅仅是来自美国。”这些品牌包括不同按摩浴缸品牌下的其他品牌,包括 Sundance Spa、D1 Spas 和 ThermoSpas。
伊顿随后试图绕过限制并获得完全访问权限。他使用了一个名为 Fiddler 的工具来拦截和修改一些代码,这些代码告诉网站他是管理员,而不是普通用户。绕过成功,使 Zveare 能够完全访问管理面板。
“一旦进入管理面板,我被允许访问的数据量是惊人的。我可以查看每个水疗中心的详细信息,查看其所有者,甚至删除其所有权,”他说。 “创建一个脚本来下载所有用户信息将是微不足道的。可能已经完成了。”
当 Zveare 在查看 Android 应用程序的源代码时发现第二个管理面板时,情况变得更糟,允许他查看和修改产品的序列号、查看授权热水浴缸经销商列表以及查看制造日志。
Zveare 联系了 Jacuzzi 以提醒他们注意这些漏洞,首先是在 12 月 3 日发现漏洞数小时后的初始通知。三天后,Zveare 收到了要求提供更多详细信息的回复。但在一个月没有进一步沟通后,Zveare 寻求 Auth0 的帮助,关闭了易受攻击的 SmartTub 管理面板。第二个管理面板最终在 6 月 4 日修复,尽管 Jacuzzi 没有正式承认他们已经解决了这些问题。
“在通过三个不同的 Jacuzzi/SmartTub 电子邮件地址和 Twitter 进行多次联系尝试后,直到 Auth0 介入后才建立对话,”Zveare 说。 “即便如此,与 Jacuzzi/SmartTub 的沟通最终完全中断,没有任何正式结论或承认他们已经解决了所有报告的问题。”
正如 Zveare 所指出的,按摩浴缸是在加利福尼亚州注册成立的,该州拥有数据泄露通知和物联网安全法。后者要求联网设备制造商在加利福尼亚州出售或出售的所有此类设备中包含“合理的安全功能”,特别是那些能够直接或间接连接到互联网的设备。
TechCrunch 联系了 Jacuzzi 征求意见,但该公司没有回应。
原文: https://techcrunch.com/2022/06/22/jacuzzi-flaws-admin-exposed-users/