Hasta los jacuzzis son hackeables: consiguen acceder al panel admin de la compañía con información de todos sus usuarios

Hasta los jacuzzis son hackeables: consiguen acceder al panel admin de la compañía con información de todos sus usuarios
4 Comentarios

Con el auge de los dispositivos inteligentes y el hogar conectado, son cada vez más los productos que cuentan con soluciones IoT. Incluso hasta un jacuzzi ofrece en la actualidad integración en la nube. Y si no hubiera sido por el hallazgo de un investigador independiente, los datos de miles de usuarios que cuentan con un Jacuzzi en su casa habrían sido comprometidos.

Este investigador pudo entrar fácilmente al panel de administración de la firma, descubriendo un importante fallo de seguridad que le permitió acceder a una gran cantidad de información de usuarios que cuentan con alguna de las bañeras inteligentes de la compañía.

Un fallo de seguridad que permitía hasta controlar remotamente las bañeras de los usuarios

Eaton Zveare, director de tecnología en Grape Intentions, documentó todo lo posible acerca del problema de seguridad de Jacuzzi en su blog Eaton Works. En él se explica cómo pudo adentrarse en los sistemas de la compañía a través de una vulnerabilidad que pudo hallar. El investigador no publicó el informe hasta que el error fue corregido por parte de Jacuzzi. Contactar con la compañía fue una ardua tarea para Zveare, aunque finalmente, gracias al equipo de seguridad de Auth0, la firma de soluciones de spa pudo corregir el fallo. Eso sí, sin avisar al investigador ni darle las gracias por ello.

Smarttub
Imagen: EatonWorks

En la actualidad, es posible utilizar un teléfono móvil o dispositivo inteligente para controlar algunos aspectos del jacuzzi. Los usuarios dependen de la nube para acceder a la configuración remota de su bañera inteligente, siendo otra peligrosa puerta de entrada para los ciberataques. Afortunadamente, las intenciones de Eaton eran buenas, y decidió contactar con Jacuzzi en vez de modificar y recopilar la información de los usuarios.

Eaton descubrió el problema por primera vez cuando intentó acceder a uno de los servicios de Jacuzzi a través de su gestor de contraseñas. Sin embargo, se topó con un mensaje de error en el que le decía que "no estaba autorizado para entrar".

Según explica Zveare, antes de que apareciera el mensaje, vio una cabecera y una tabla en la web que parpadeó de manera instantánea. Según el investigador, para poder verlo bien tuvo que grabar su pantalla. Analizándolo detenidamente, lo que apareció fugazmente fue un panel de administración con acceso a la información de todos los usuarios de Jacuzzi y de otras marcas.

Tras verlo, se preguntó si podía saltarse las restricciones y acceder a este panel. Eaton comentaba que 'smarttub.io' consistía en una aplicación de página única (SPA) creada con la biblioteca React. Tras descargar el paquete de JavaScript, buscó instancias con la palabra 'unauthorized' (no autorizado). De esta manera, encontró la URL donde aparecía el error y donde se generaba el elemento HTML 'div' que restringía el acceso.

Utilizando el programa Fiddler pudo interceptar y modificar parte del código para que la página considerara al usuario como un administrador. Y funcionó.

Smarttub2
Imagen: EatonWorks

Ya dentro, encontró información de usuarios de Jacuzzi de todo el mundo. Según dice en el blog, la cantidad de información que pudo hallar le sorprendió. Podía ver detalles de todos los spa, ver al dueño, e incluso modificar sus privilegios. Sin embargo, tuvo especial cuidado al navegar por la web.

A partir de la APK de la aplicación para Android descubrió otra URL que le llevó a otro panel de administración. Accediendo a él pudo irrumpir al sistema backend de Jacuzzi, donde tenían acceso a los productos, pudiendo modificar el número de serie de éstos, ver una lista de los números de teléfono de distribuidores, e incluso ver un registro de fabricación, entre otras cosas.

Según mencionaba Eaton, la peor parte de todo era que se podía acceder fácilmente a la información personal del usuario, incluso controlar las bañeras de manera remota.

"Había expuestos datos de usuarios de todo el mundo, que incluían nombre, apellido y dirección de correo electrónico. Hay un campo de número de teléfono, pero afortunadamente nunca lo vi completado en ninguna parte, y no lo solicitan al crear una cuenta".

Que las soluciones IoT y demás dispositivos inteligentes dependan de la nube puede ofrecernos multitud de beneficios. Eso sí, a costa de que la empresa tenga el control de nuestra información. Es por ello que, a la hora de querer crear un ecosistema conectado en el hogar, generalmente se le recomienda al usuario utilizar soluciones en local.

Vía | VICE

Temas
Inicio