🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Investigador de seguridad hackeó una red de jacuzzis inteligentes

Un investigador de seguridad descubrió una vulnerabilidad de seguridad en SmartTubs que le dio acceso a la información personal de cualquier persona en el mundo que usara el software.

Un investigador hackeó el backend de una serie de jacuzzis inteligentes en uno de los hacks más absurdos de los últimos tiempos. 

La marca Jacuzzi SmartTub tiene el mismo punto de venta simple que todos los dispositivos de Internet de las cosas (IoT). Es decir, puedes usar tu teléfono o el concentrador SmartHome para controlar la configuración de tu bañera desde lejos. 

El investigador de seguridad EatonWorks notó varias vulnerabilidades de seguridad en su propio SmartTub y decidió investigarlo. Él documentó la experiencia en su sitio web.

Eaton notó por primera vez un problema con su SmartTub cuando intentaron iniciar sesión en uno de los sitios web del servicio usando un administrador de contraseñas. Estaba en el sitio web equivocado y apareció una pantalla que le decía que no estaba autorizado para ingresar. 

“Justo antes de que apareciera ese mensaje, vi un encabezado y una tabla parpadear brevemente en mi pantalla. Parpadea y te lo perderás. Tuve que usar una grabadora de pantalla para capturarlo. Me sorprendió descubrir que era un panel de administración lleno de datos de usuario. Mirando los datos, hay información para múltiples marcas, y no solo de los Estados Unidos”

Afirmaciones de Eaton en su blog

Investigación

Intrigado, Eaton decidió ver si podían eludir las restricciones y obtener acceso. Descubrió que smarttub.io alojó una aplicación de una sola página (SPA) creada con React. 

“Los paneles de administración se construyen comúnmente como un SPA, por lo que verlo utilizado aquí no es sorprendente. Descargué el paquete de JavaScript y busqué instancias de ‘no autorizado’. Encontré dónde establece la URL en la ruta de error, y también dónde aparentemente crea el div no autorizado”.

Luego, Eaton usó un programa llamado Fiddler para interceptar y modificar un código que le decía al sitio web que era un administrador, no solo un usuario. Estaban adentro y pudieron ver una gran cantidad de información sobre propietarios de jacuzzis de todo el mundo. 

“Una vez en el panel de administración, la cantidad de datos que se me permitió fue asombrosa. Pude ver los detalles de cada spa, ver a su propietario e incluso eliminar su propiedad. Ten en cuenta que no intentamos ninguna operación que realmente cambiara algún dato. Por lo tanto, desconocemos si los cambios realmente se guardarían. Supuse que lo harían, así que navegué con cuidado”.

Eaton le dijo a Motherboard que todo esto era bastante fácil. “En comparación con muchas otras cosas que he hecho, esto fue fácil”, le dijo a Motherboard en un correo electrónico. 

“Hago muchas cosas con modificaciones de consola, y mi lanzamiento más reciente fue un parche/truco para actualizar la compatibilidad con USB de Xbox 360 . Eso fue mucho más difícil que simplemente descargar un archivo JS y cambiar algunas líneas”.

Más hallazgos

El investigador siguió explorando y notó una URL en el APK de la aplicación de Android que les daría acceso a un panel de administración adicional. También ingresó en esta y pudo acceder al backend de Jacuzzi. Podía crear sus propias promociones y productos, modificar los números de serie de los productos, ver una lista de distribuidores y sus números de teléfono, e incluso ver un registro de fabricación.

Según Eaton, lo peor del hackeo fue la exposición de datos personales. “En cuanto a las bañeras con control remoto, creo que lo peor que podrías hacer es subir la temperatura al máximo y cambiar los ciclos de filtración… “Luego, en unos días podrías tener una sopa caliente y apestosa. No hay productos químicos para controlarlo, tienes que hacerlo a mano. Cambiar los datos de otro usuario habría cruzado la línea, por lo que esto es solo una especulación de mi parte”.

Los hallazgos revelaron que las vulnerabilidades expusieron datos de usuarios en todo el mundo, que incluían nombre, apellido y dirección de correo electrónico. “Hay un campo de número de teléfono, pero afortunadamente nunca lo vi completado en ninguna parte, y no te lo piden al crear una cuenta”, dijo Eaton en su blog. 

“Sería trivial crear un script para descargar toda la información del usuario. Es posible que ya se haya hecho. Jacuzzi está ubicada en California, que tiene leyes de notificación de violación de datos. No estoy seguro de si los datos expuestos cumplen con los requisitos de la ley y es posible que técnicamente no sea posible identificar a los residentes de California en la red de SmartTub”.

Sin respuestas de la empresa

Eaton es un hacker ético y trató repetidamente de contactar a Jacuzzi. Según su propia cronología de divulgación, envió su primer mensaje a la empresa el 3 de diciembre de 2021, solo unas horas después de descubrir inicialmente la vulnerabilidad de seguridad. Finalmente hicieron públicos sus hallazgos el lunes. 

Eaton tuvo noticias de Jacuzzi dos veces. Una vez, al pedir más datos sobre el hackeo y otra vez, cuando un empleado dijo que había trasladado las preocupaciones de Eaton a la gerencia. 

El investigador tuvo noticias de Auth0, el tercero que manejó el frente de inicio de sesión del software SmartTub. Ellos, al menos, respondieron y repararon las vulnerabilidades en la página de inicio de sesión que permitieron a Eaton acceder a los paneles de administración. Siempre debes tener cuidado al compartir tu información personal con tu jacuzzi.

Hasta el cierre de esta nota, Jacuzzi no ha dado ninguna respuesta ante las vulnerabilidades encontradas por el investigador. 

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información