Підключені до інтернету гідромасажні ванни можна зламати і керувати ними дистанційно

Гідромасажні ванни повинні бути чудовим способом розслабитися, але це трохи складніше зробити, коли ви не контролюєте їх. Тисячі гідромасажних ванн, що працюють на системі виробництва Balboa Water Group, мають уразливості, які можна зламати, щоб дозволити зловмисникам дистанційно керувати ними, згідно з нещодавнім повідомленням BBC.

Проблема, виявлена дослідниками безпеки з британської фірми Pen Test Partners, пов’язана з помилками в мобільному додатку, який дозволяє власникам гідромасажних ванн керувати своїми ваннами зі свого телефону. Теоретично зловмисники можуть збирати інформацію з публічних ресурсів, щоб знайти будинки з вразливими гідромасажними ваннами і атакувати їх. Зловмисники можуть використовувати сторонні бази даних, щоб знайти дані про GPS-локацію певної ванни та викрасти її. Не існує жодної автентифікації, яка б завадила зловмисникам потрапити в систему.

Після того, як зловмисники обрали свою ціль, вони можуть взяти на себе контроль над ванною дистанційно. Це означає, що вони можуть зробити температуру гарячішою або холоднішою, перехопити насоси та форсунки, а також змінити освітлення. Вся атака може бути здійснена через смартфон або ноутбук.

• Найкращі поради та рекомендації щодо Amazon Echo
• Google розгортає підтримку Matter для Nest і Android
• Apple TV: Ціна, обладнання, програмне забезпечення та інше

Як повідомляє BBC, Balboa Water Group була заскочена зненацька цим повідомленням і заявила, що була “здивована”, дізнавшись про вразливість. За даними компанії, мобільний додаток, який дає користувачам можливість дистанційно керувати своєю гідромасажною ванною, доступний вже близько п’яти років, і користувачі ніколи не повідомляли про будь-які проблеми або спроби злому.

Balboa Water Group знаходиться в процесі усунення недоліків безпеки і планує виправити їх до кінця лютого – це занадто багато часу, щоб залишити відомий недолік невиправленим і доступним для використання. Компанія працює зі своїми клієнтами над створенням індивідуальних імен користувачів і паролів, щоб вони могли захистити свої додатки. Раніше компанія вирішила не вимагати від користувачів створення особистих облікових записів, оскільки хотіла спростити процес активації. Хоча це могло б зробити речі більш зручними, це рішення також піддало користувачів ризику того, що їх особистий час в джакузі буде перерваний хакерами.

Рекомендації редакції

• Amazon додала підтримку Matter до 17 пристроїв Echo
• Кращі пристрої для розумного будинку на 2022 рік
• Найкращі поради, підказки та великодні яйця для Google Home
• Ikea і Sonos співпрацюють над новою колонкою для торшера Symfonisk
• Google тепер підтримує мої жахливі звички в браузері, і мені це подобається

Source: digitaltrends.com