Ein Sicherheitsforscher fand Schwachstellen in der SmartTub-Schnittstelle von Jacuzzi, die den Zugriff auf die persönlichen Daten jedes Whirlpool-Besitzers ermöglichten.
Mit der SmartTub-Funktion von Jacuzzi können Benutzer, wie bei den meisten Internet of Things (IoT)-Systemen, über eine begleitende Android- oder iPhone-App eine Remote-Verbindung zu ihrem Whirlpool herstellen. Als „persönlicher Whirlpool-Assistent“ vermarktet, können Benutzer die App nutzen, um die Wassertemperatur zu steuern, Düsen ein- und auszuschalten und die Beleuchtung zu ändern.
Aber wie von Hacker Eaton Zveare dokumentiert, könnte diese Funktionalität auch von Angreifern missbraucht werden, um auf die persönlichen Daten von Whirlpool-Besitzern weltweit zuzugreifen, einschließlich ihrer Namen und E-Mail-Adressen. Es ist unklar, wie viele Nutzer möglicherweise betroffen sind, aber die SmartTub-App wurde mehr als 10.000 Mal bei Google Play heruntergeladen.
Eaton bemerkte zum ersten Mal ein Problem, als er versuchte, sich über die SmartTub-Webschnittstelle anzumelden, die den Drittanbieter-Identitätsanbieter Auth0 verwendet, und feststellte, dass die Anmeldeseite einen „nicht autorisierten“ Fehler zurückgab. Aber für einen kurzen Moment sah Zveare das vollständige Admin-Panel, das mit Benutzerdaten gefüllt war, auf seinem Bildschirm aufblitzen.
„Blinzeln und du würdest es verpassen. Ich musste einen Bildschirmrekorder verwenden, um es aufzunehmen“, sagte Zveare. „Ich war überrascht, als ich entdeckte, dass es sich um ein Admin-Panel handelte, das mit Benutzerdaten gefüllt war. Wenn man sich die Daten ansieht, gibt es Informationen für mehrere Marken, und nicht nur aus den USA.“ Zu diesen Marken gehören andere unter verschiedenen Jacuzzi-Marken, darunter Sundance Spa, D1 Spas und ThermoSpas.
Eaton versuchte dann, die Beschränkungen zu umgehen und vollen Zugriff zu erhalten. Er benutzte ein Tool namens Fiddler, um Code abzufangen und zu modifizieren, der der Website mitteilte, dass er ein Administrator und kein gewöhnlicher Benutzer war. Die Umgehung war erfolgreich, sodass Zveare vollständig auf das Admin-Panel zugreifen konnte.
„Sobald ich im Admin-Panel war, war die Menge an Daten, auf die ich Zugriff hatte, atemberaubend. Ich konnte die Details jedes Spas einsehen, seinen Besitzer sehen und sogar seinen Besitz entfernen“, sagte er. „Es wäre trivial, ein Skript zum Herunterladen aller Benutzerinformationen zu erstellen. Es ist möglich, dass es bereits getan wurde.“
Die Dinge wurden noch schlimmer, als Zveare beim Überprüfen des Quellcodes der Android-App ein zweites Admin-Panel entdeckte, das es ihm ermöglichte, die Seriennummern von Produkten einzusehen und zu ändern, eine Liste lizenzierter Whirlpool-Händler einzusehen und Herstellungsprotokolle einzusehen.
Zveare kontaktierte Jacuzzi, um sie auf die Schwachstellen aufmerksam zu machen, und begann mit einer ersten Benachrichtigung nur wenige Stunden nach der Entdeckung der Schwachstellen am 3. Dezember. Drei Tage später erhielt Zveare eine Antwort mit der Bitte um weitere Einzelheiten. Aber nach einem Monat ohne weitere Kommunikation nahm Zveare die Hilfe von Auth0 in Anspruch, das das anfällige SmartTub-Admin-Panel abschaltete. Das zweite Admin-Panel wurde schließlich am 4. Juni repariert, obwohl Jacuzzi keine formelle Bestätigung gab, dass sie die Probleme angegangen sind.
„Nach mehreren Kontaktversuchen über drei verschiedene Jacuzzi/SmartTub-E-Mail-Adressen und Twitter wurde kein Dialog hergestellt, bis Auth0 einschritt“, sagte Zveare. „Selbst dann brach die Kommunikation mit Jacuzzi/SmartTub schließlich vollständig ab, ohne dass eine formelle Schlussfolgerung oder Bestätigung erfolgte, dass alle gemeldeten Probleme behoben wurden.“
Wie von Zveare angemerkt, ist Jacuzzi in Kalifornien eingetragen, wo es Gesetze zur Meldung von Datenschutzverletzungen und zum Internet der Dinge gibt. Letzteres verlangt von den Herstellern vernetzter Geräte, „angemessene Sicherheitsfunktionen“ einzubauen[s]“ in all diesen Geräten, die in Kalifornien verkauft oder zum Verkauf angeboten werden, insbesondere in den Geräten, die direkt oder indirekt mit dem Internet verbunden werden können.
Tech hat Jacuzzi um einen Kommentar gebeten, aber das Unternehmen hat nicht geantwortet.