Anche le vasche idromassaggio Jacuzzi sono state hackerate per colpa di un App mobile

Redazione RHC : 24 Giugno 2022 07:00

Il ricercatore di sicurezza delle informazioni, conosciuto con il soprannome EatonWorks, ha parlato di un hack molto insolito e divertente che è riuscito a realizzare di recente. L’esperto è riuscito a compromettere il back-end delle vasche idromassaggio intelligenti di Jacuzzi e ad ottenere il controllo sui bagni e sui dati di altre persone.

In sostanza, le vasche da bagno SmartTub di Jacuzzi sono leggermente diverse dagli altri dispositivi IoT: consentono inoltre ai loro proprietari di utilizzare il proprio telefono o l’hub di controllo domestico intelligente per controllare le impostazioni della vasca da bagno a distanza.

EatonWorks ha notato un problema con il proprio SmartTub quando ha tentato di accedere a uno dei siti Web del produttore (smarttub[.]io) utilizzando un gestore di password. Di conseguenza, è finito sul sito sbagliato e ha ricevuto un messaggio che diceva di non essere autorizzato a entrare.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“Subito prima che apparisse questo messaggio, ho notato che un titolo e una tabella lampeggiavano sullo schermo”, scrive il ricercatore. “Ho dovuto usare la registrazione dello schermo per visualizzare tutto. Sono stato estremamente sorpreso di scoprire che questo è un pannello di amministrazione pieno di dati degli utenti. Se dai una rapida occhiata ai dati, noterai che si tratta di informazioni per diversi marchi, e non solo degli Stati Uniti.”

Curioso, EatonWorks ha deciso di vedere se poteva aggirare le restrizioni e ottenere l’accesso.

“Smarttub.io ospita un’applicazione a pagina singola (SPA) creata con React. Ha scaricato il bundle JavaScript e ha cercato quando veniva riportato “non autorizzato”. Ha trovato dove è impostato l’URL per l’errore e anche dove viene creato il div”, scrive l’esperto.

Successivamente, ha utilizzato Fiddler per intercettare e sostituire il codice che diceva al sito che era un amministratore e non solo un visitatore. Una volta dentro, ha scoperto una grande quantità di informazioni sui proprietari di vasche idromassaggio di tutto il mondo.

 “Dopo essere penetrato nel pannello di amministrazione, ho visto una quantità sbalorditiva di dati a mia disposizione. Potevo visualizzare i dettagli su ciascun dispositivo, i dettagli del proprietario e persino revocare la proprietà. Si prega di notare che non ho intrapreso alcuna azione che avrebbe modificato i dati. Pertanto, non è noto se le modifiche sarebbero state mantenute. Ho pensato di sì, quindi ho agito con cautela”.

Dopo ulteriori indagini, l’esperto ha trovato un URL nel file APK dell’applicazione Android, che dava accesso a un pannello di amministrazione aggiuntivo. EatonWorks ha hackerato anche quello, ottenendo l’accesso al back-end Jacuzzi. Lì, è stato in grado di creare le proprie campagne pubblicitarie, modificare i numeri di serie dei prodotti, visualizzare un elenco di rivenditori e i loro numeri di telefono e persino visualizzare i registri di produzione.

Secondo l’esperto, la cosa peggiore di questo hack è la divulgazione di dati personali.

“In termini di controllo remoto delle vasche, penso che la cosa peggiore che si sarebbe potuta fare fosse alzare il riscaldamento al massimo o cambiare i cicli di filtrazione. Poi in pochi giorni avresti una zuppa calda e puzzolente. Non ci sono sostanze chimiche da controllare: è tutto fatto a mano. Modificare i dati dell’utente significherebbe oltrepassare il limite, quindi queste sono solo mie ipotesi.

Dal momento che EatonWorks si considera un whitehat e un hacker etico, ha ripetutamente cercato di contattare Jacuzzi. Ha inviato il primo messaggio il 3 dicembre 2021, poche ore dopo la scoperta della vulnerabilità.

Di conseguenza, il ricercatore ha ricevuto solo due risposte da Jacuzzi. Una volta, la società ha richiesto maggiori dettagli sull’hack e un’altra volta un dipendente ha riferito di aver trasmesso le informazioni alla direzione.

Inoltre, l’esperto ha contattato Auth0, l’azienda fornitrice di Jacuzzi responsabile del front-end SmartTub. Gli sviluppatori hanno reagito meglio di Jacuzzi e hanno prontamente risolto le vulnerabilità che consentivano al ricercatore di accedere al pannello di amministrazione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli