وجد باحث أمني نقاط الضعف في واجهة SmartTub الخاصة بـ Jacuzzi والتي سمحت بالوصول إلى البيانات الشخصية لكل مالك حوض ساخن. حوض الاستحمام الساخن عن بُعد عبر تطبيق Android أو iPhone المصاحب. يمكن تسويقه كمساعد حوض استحمام ساخن شخصي ، يمكن للمستخدمين الاستفادة من التطبيق للتحكم في درجة حرارة الماء ، والتشغيل وإيقاف الطائرات ، وتغيير الأضواء. تعرضوا للإساءة من قبل الجهات الفاعلة للتهديد للوصول إلى المعلومات الشخصية لأصحاب الحوض الساخن في جميع أنحاء العالم ، بما في ذلك أسمائهم وعناوين البريد الإلكتروني. من غير الواضح عدد المستخدمين الذين يحتمل أن يتأثروا ، ولكن تم تنزيل تطبيق SmartTub أكثر من 10000 مرة على Google Play. من المحتمل أن تسخن حوض الاستحمام الساخن لشخص آخر أو تغيير دورات الترشيح. وقال إن ذلك من شأنه أن يجعل الأمور غير سارة في المرة القادمة التي فحص فيها الشخص حوضه. لكنني لا أعتقد أن هناك أي شيء خطير حقًا كان يمكن القيام به - يجب عليك القيام بجميع المواد الكيميائية باليد.
لاحظ إيتون أولاً مشكلة عندما حاول تسجيل الدخول باستخدام واجهة ويب SmartTub ، والتي يستخدم مزود هوية الطرف الثالث Auth0 ، ووجد أن صفحة تسجيل الدخول قد أعادت خطأ غير مصرح به. ولكن لأقصر لحظة ، رأى Zveare لوحة المسؤول الكاملة الملغوفين باستخدام فلاش بيانات المستخدم على شاشته.
وميض وستفتقدها. قال زفيري إنه اضطررت إلى استخدام مسجل الشاشة لالتقاطه. لقد فوجئت باكتشاف أنها كانت لوحة مسؤول مليئة ببيانات المستخدم. عند إلقاء نظرة على البيانات ، هناك معلومات عن علامات تجارية متعددة ، وليس فقط من الولايات المتحدة ، وتشمل هذه العلامات التجارية الآخرين تحت علامات جاكوزي مختلفة ، بما في ذلك Sundance Spa و D1 SPAs و Thermospas.
حاول إيتون بعد ذلك تجاوز القيود و الحصول على وصول كامل. لقد استخدم أداة تسمى Fiddler لاعتراض وتعديل بعض التعليمات البرمجية التي أخبرت الموقع أنه كان مسؤولًا وليس مستخدمًا عاديًا. كان الالتفاف ناجحًا ، مما أدى إلى الوصول إلى لوحة المسؤول بالكامل.
مرة واحدة في لوحة المسؤول ، كان كمية البيانات التي سمح لي [الوصول] مذهلة. وقال إنه يمكنني مشاهدة تفاصيل كل منتجع صحي ، ورؤية مالكها وحتى إزالة ملكيته. سيكون من التافهة إنشاء برنامج نصي لتنزيل جميع معلومات المستخدم. من الممكن أن يتم ذلك بالفعل.
تزداد الأمور سوءًا عندما اكتشف Zveare لوحة مسؤول ثانية أثناء مراجعة الكود المصدري لتطبيق Android مما يسمح له بعرض وتعديل الأرقام التسلسلية للمنتجات ، انظر قائمة بالمرخصة الساخنة توصل تجار الحوض وعرض سجلات التصنيع.
اتصل Zveare بجاكوزي لتنبيههم إلى نقاط الضعف ، بدءًا من إخطار أولي بعد ساعات فقط من اكتشاف العيوب في 3 ديسمبر. تلقى Zveare ردًا يطلب المزيد من التفاصيل بعد ثلاثة أيام. ولكن بعد شهر واحد من عدم وجود اتصال إضافي ، قام Zveare بتجنيد مساعدة Auth0 ، والتي وصلت إلى Jacuzzi وحصلت عليها لإغلاق لوحة Admin SmartTub الضعيفة. تم إصلاح لوحة المسؤول الثانية في نهاية المطاف في 4 يونيو ، على الرغم من عدم اعتراف رسمي من Jacuzzi بأنهم عالجوا المشكلات.
بعد محاولات الاتصال المتعددة من خلال ثلاث عناوين بريد إلكتروني مختلفة من Jacuzzi/SmartTub و Twitter ، لم يتم إنشاء مربع حوار حتى تدخل Auth0 ، قال Zveare. وحتى مع ذلك ، انطلق التواصل مع Jacuzzi/SmartTub في النهاية تمامًا ، دون أي استنتاج أو إقرار رسمي بأنهم عالجوا جميع المشكلات المبلغ عنها. من الأشياء القوانين الأمنية. يتطلب هذا الأخير من الشركات المصنعة للأجهزة المتصلة تضمين ميزة أمان معقولة في جميع هذه الأجهزة المباعة أو المعروضة للبيع في كاليفورنيا ، وتحديداً تلك الأجهزة القادرة على الاتصال بشكل مباشر أو غير مباشر بالإنترنت.
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي
