Czy ktoś naprawdę wpadł na pomysł hakowania wanny z hydromasażem? Tak, na szczęście tym razem był to człowiek z „dobrej strony mocy” – badacz bezpieczeństwa cybernetycznego o pseudonimie EatonWorks. Czy jacuzzi poważnie mogło być celem ataku hakerskiego? Wszystko na to wskazuje.
Dlaczego jacuzzi miałoby dać się zhakować?
Dlaczego coś takiego było w ogóle możliwe? Główną przyczyną całego zamieszania jest aplikacja „SmartTub” firmy Jacuzzi, umożliwiająca nam kontrolę nad naszą wanną z masażem wodnym. Dzięki niej nasz telefon przemienia się w pilota, za pomocą którego możemy zmieniać temperaturę czy oświetlenie w jacuzzi.
Eaton znalazł poważne luki we wspomnianej aplikacji, przy wykorzystaniu których mógłby on sporo namieszać. Oczywiście oprócz samego „przejęcia kontroli” nad jacuzzi ewentualny haker mógłby wyciągnąć z takiego procederu dużo więcej, niż mogłoby się wydawać.
Odpowiedzialny za to odkrycie badacz bezpieczeństwa poinformował, że podczas testów był w stanie uzyskać dostęp do danych osobowych klientów. Mowa tutaj przede wszystkim o imionach i nazwiskach oraz adresach e-mail. Niewykluczone jednak, że hakerzy mogliby pójść o krok dalej i próbować uzyskać adresy zamieszkania właścicieli zhakowanych jacuzzi.
Świąteczny epizod z 2018 roku
Żeby było jeszcze ciekawiej okazuje się, że nie jest to pierwsza sytuacja, w której producenci jacuzzi sterowanych zdalnie wprowadzili niewystarczające zabezpieczenia. Poprzedni artykuł o podobnym zagrożeniu pojawił się na stronie BBC News około 3,5 roku temu – 25 grudnia 2018 roku. „Dziura” w zabezpieczeniach internetowych została zaprezentowana w telewizji, podczas jednego z programów telewizji BBC Click.
W 2018 roku chodziło o firmę Balboa Water Group (BWG), której przedstawiciele byli bardzo zaskoczeni tym doniesieniem, bowiem ich aplikacja była dostępna na rynku od około pięciu lat. Wanny, które uznano wtedy za „podatne na ataki” mogły zostać namierzone przy użyciu sygnału GPS „za pomocą baz danych Wi-Fi”.
Reakcja firmy była niemal natychmiastowa, a jednym z opracowywanych wtedy rozwiązań był system indywidualnych nazw użytkowników i haseł. Wcześniej za pomocą dostępnych w sieci informacji – hakerzy bez większego wysiłku i potrzeby pokonywania dodatkowego rodzaju uwierzytelniania – mogli spokojnie przejąć kontrolę nad urządzeniem.
Kuriozalna sytuacja i jej ewentualne konsekwencje
Wracając raz jeszcze do sytuacji EatonWorksa – przed zamieszczeniem swoich ustaleń w Internecie oczywiście poinformował on firmę o znalezionych lukach. Wspomniana „dziura” znajdowała się w systemach logowania i to właśnie ich naprawą zajęła się odpowiedzialna za logowanie firma AuthO. Eaton potwierdził również, że podczas testów „nie próbowali pobierać danych użytkowników, ani zdalnie zmieniać ustawień jacuzzi” u obcych osób.
Ta sytuacja zakończyła się szczęśliwie, ale nietrudno wyobrazić sobie co mogłoby się stać, gdyby lukę w oprogramowaniu znalazł ktoś o gorszych intencjach. Sytuacja ta jest jednak na tyle nietypowa i kuriozalna, że w żadnym wypadku nie powinniśmy nastawiać się negatywnie do nowych technologii. W tym wszystkim najważniejsze jest jednak to, żebyśmy wszyscy uczyli się na „wspólnych błędach”.
ŹRÓDŁO: New York Post, BBC
Dodaj komentarz