Redazione RHC : 24 Giugno 2022 07:00
Il ricercatore di sicurezza delle informazioni, conosciuto con il soprannome EatonWorks, ha parlato di un hack molto insolito e divertente che è riuscito a realizzare di recente. L’esperto è riuscito a compromettere il back-end delle vasche idromassaggio intelligenti di Jacuzzi e ad ottenere il controllo sui bagni e sui dati di altre persone.
In sostanza, le vasche da bagno SmartTub di Jacuzzi sono leggermente diverse dagli altri dispositivi IoT: consentono inoltre ai loro proprietari di utilizzare il proprio telefono o l’hub di controllo domestico intelligente per controllare le impostazioni della vasca da bagno a distanza.
EatonWorks ha notato un problema con il proprio SmartTub quando ha tentato di accedere a uno dei siti Web del produttore (smarttub[.]io) utilizzando un gestore di password. Di conseguenza, è finito sul sito sbagliato e ha ricevuto un messaggio che diceva di non essere autorizzato a entrare.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.“Subito prima che apparisse questo messaggio, ho notato che un titolo e una tabella lampeggiavano sullo schermo”, scrive il ricercatore. “Ho dovuto usare la registrazione dello schermo per visualizzare tutto. Sono stato estremamente sorpreso di scoprire che questo è un pannello di amministrazione pieno di dati degli utenti. Se dai una rapida occhiata ai dati, noterai che si tratta di informazioni per diversi marchi, e non solo degli Stati Uniti.”
Curioso, EatonWorks ha deciso di vedere se poteva aggirare le restrizioni e ottenere l’accesso.
“Smarttub.io ospita un’applicazione a pagina singola (SPA) creata con React. Ha scaricato il bundle JavaScript e ha cercato quando veniva riportato “non autorizzato”. Ha trovato dove è impostato l’URL per l’errore e anche dove viene creato il div”, scrive l’esperto.
Successivamente, ha utilizzato Fiddler per intercettare e sostituire il codice che diceva al sito che era un amministratore e non solo un visitatore. Una volta dentro, ha scoperto una grande quantità di informazioni sui proprietari di vasche idromassaggio di tutto il mondo.
“Dopo essere penetrato nel pannello di amministrazione, ho visto una quantità sbalorditiva di dati a mia disposizione. Potevo visualizzare i dettagli su ciascun dispositivo, i dettagli del proprietario e persino revocare la proprietà. Si prega di notare che non ho intrapreso alcuna azione che avrebbe modificato i dati. Pertanto, non è noto se le modifiche sarebbero state mantenute. Ho pensato di sì, quindi ho agito con cautela”.
Dopo ulteriori indagini, l’esperto ha trovato un URL nel file APK dell’applicazione Android, che dava accesso a un pannello di amministrazione aggiuntivo. EatonWorks ha hackerato anche quello, ottenendo l’accesso al back-end Jacuzzi. Lì, è stato in grado di creare le proprie campagne pubblicitarie, modificare i numeri di serie dei prodotti, visualizzare un elenco di rivenditori e i loro numeri di telefono e persino visualizzare i registri di produzione.
Secondo l’esperto, la cosa peggiore di questo hack è la divulgazione di dati personali.
“In termini di controllo remoto delle vasche, penso che la cosa peggiore che si sarebbe potuta fare fosse alzare il riscaldamento al massimo o cambiare i cicli di filtrazione. Poi in pochi giorni avresti una zuppa calda e puzzolente. Non ci sono sostanze chimiche da controllare: è tutto fatto a mano. Modificare i dati dell’utente significherebbe oltrepassare il limite, quindi queste sono solo mie ipotesi.
Dal momento che EatonWorks si considera un whitehat e un hacker etico, ha ripetutamente cercato di contattare Jacuzzi. Ha inviato il primo messaggio il 3 dicembre 2021, poche ore dopo la scoperta della vulnerabilità.
Di conseguenza, il ricercatore ha ricevuto solo due risposte da Jacuzzi. Una volta, la società ha richiesto maggiori dettagli sull’hack e un’altra volta un dipendente ha riferito di aver trasmesso le informazioni alla direzione.
Inoltre, l’esperto ha contattato Auth0, l’azienda fornitrice di Jacuzzi responsabile del front-end SmartTub. Gli sviluppatori hanno reagito meglio di Jacuzzi e hanno prontamente risolto le vulnerabilità che consentivano al ricercatore di accedere al pannello di amministrazione.
RedazioneNella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana. Disclaimer: Questo rapporto include s...
SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...
Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...
Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...
