Con el auge de los dispositivos inteligentes y el hogar conectado, son cada vez más los productos que cuentan con soluciones IoT. Incluso hasta un jacuzzi ofrece en la actualidad integración en la nube. Y si no hubiera sido por el hallazgo de un investigador independiente, los datos de miles de usuarios que cuentan con un Jacuzzi en su casa habrían sido comprometidos.
Este investigador pudo entrar fácilmente al panel de administración de la firma, descubriendo un importante fallo de seguridad que le permitió acceder a una gran cantidad de información de usuarios que cuentan con alguna de las bañeras inteligentes de la compañía.
Un fallo de seguridad que permitía hasta controlar remotamente las bañeras de los usuarios
Eaton Zveare, director de tecnología en Grape Intentions, documentó todo lo posible acerca del problema de seguridad de Jacuzzi en su blog Eaton Works. En él se explica cómo pudo adentrarse en los sistemas de la compañía a través de una vulnerabilidad que pudo hallar. El investigador no publicó el informe hasta que el error fue corregido por parte de Jacuzzi. Contactar con la compañía fue una ardua tarea para Zveare, aunque finalmente, gracias al equipo de seguridad de Auth0, la firma de soluciones de spa pudo corregir el fallo. Eso sí, sin avisar al investigador ni darle las gracias por ello.
Imagen: EatonWorks
En la actualidad, es posible utilizar un teléfono móvil o dispositivo inteligente para controlar algunos aspectos del jacuzzi. Los usuarios dependen de la nube para acceder a la configuración remota de su bañera inteligente, siendo otra peligrosa puerta de entrada para los ciberataques. Afortunadamente, las intenciones de Eaton eran buenas, y decidió contactar con Jacuzzi en vez de modificar y recopilar la información de los usuarios.
Eaton descubrió el problema por primera vez cuando intentó acceder a uno de los servicios de Jacuzzi a través de su gestor de contraseñas. Sin embargo, se topó con un mensaje de error en el que le decía que «no estaba autorizado para entrar».
Según explica Zveare, antes de que apareciera el mensaje, vio una cabecera y una tabla en la web que parpadeó de manera instantánea. Según el investigador, para poder verlo bien tuvo que grabar su pantalla. Analizándolo detenidamente, lo que apareció fugazmente fue un panel de administración con acceso a la información de todos los usuarios de Jacuzzi y de otras marcas.
Tras verlo, se preguntó si podía saltarse las restricciones y acceder a este panel. Eaton comentaba que ‘smarttub.io’ consistía en una aplicación de página única (SPA) creada con la biblioteca React. Tras descargar el paquete de JavaScript, buscó instancias con la palabra ‘unauthorized’ (no autorizado). De esta manera, encontró la URL donde aparecía el error y donde se generaba el elemento HTML ‘div’ que restringía el acceso.
Utilizando el programa Fiddler pudo interceptar y modificar parte del código para que la página considerara al usuario como un administrador. Y funcionó.
Imagen: EatonWorks
Ya dentro, encontró información de usuarios de Jacuzzi de todo el mundo. Según dice en el blog, la cantidad de información que pudo hallar le sorprendió. Podía ver detalles de todos los spa, ver al dueño, e incluso modificar sus privilegios. Sin embargo, tuvo especial cuidado al navegar por la web.
A partir de la APK de la aplicación para Android descubrió otra URL que le llevó a otro panel de administración. Accediendo a él pudo irrumpir al sistema backend de Jacuzzi, donde tenían acceso a los productos, pudiendo modificar el número de serie de éstos, ver una lista de los números de teléfono de distribuidores, e incluso ver un registro de fabricación, entre otras cosas.
Según mencionaba Eaton, la peor parte de todo era que se podía acceder fácilmente a la información personal del usuario, incluso controlar las bañeras de manera remota.
«Había expuestos datos de usuarios de todo el mundo, que incluían nombre, apellido y dirección de correo electrónico. Hay un campo de número de teléfono, pero afortunadamente nunca lo vi completado en ninguna parte, y no lo solicitan al crear una cuenta».
Que las soluciones IoT y demás dispositivos inteligentes dependan de la nube puede ofrecernos multitud de beneficios. Eso sí, a costa de que la empresa tenga el control de nuestra información. Es por ello que, a la hora de querer crear un ecosistema conectado en el hogar, generalmente se le recomienda al usuario utilizar soluciones en local.
Vía | VICE
Fuente info
Autor:
Hitachi 50HAK5450, Android Smart TV 50 Pulgadas, 4K Ultra HD, HDR10, Dolby Vision, Bluetooth, Google Play, Chromecast Integrado, Compatible con Google Assistant, Dolby Atmos Por solo 349,99 € 279,99 €
Corsair MP600 Mini 1TB M.2 NVMe PCIe x4 Gen4 2 SSD - M.2 2230 - hasta 4.800MB/seg Lectura Secuencial - NAND 3D TLC de Alta Densidad - Ideal para Steam Deck y Microsoft Surface - Negro Por solo 135,04 €
135,04 €
Melonboy 3 en 1 cable magnético [lote de 4, 1M/1M/2M/2M] cargador magnético de nylon trenzado Statik 360 cable USB tipo C compatible con Samsung Galaxy S22 Huawei P40 Xiaomi I-P - Verde Por solo 16,99 €
16,99 €
Kraken 280 de NZXT - Refrigerador líquido AIO para procesador de 280 mm - Pantalla LCD Cuadrada de 1,54” Personalizable para imágenes - 2 Ventiladores F140P - Negro Por solo 169,90 € 164,82 €
MINIS FORUM UM450 Mini PC Windows 11 Pro AMD Ryzen 5 4500U 6C/6T hasta 4.0 GHz 32 GB RAM 512 GB PCIe SSD Dual WIFI6 BT 5.2 Ordenador de Sobremesa 4K USB-C y Dual HDMI 2500Mbps 5X Puertos USB Por solo 479,99 € 383,99 €
Cascos Gaming, Auriculares Gaming con Micrófono Rotatorio, Luz RGB, Premium Stereo, Orejeras Ligero Cómodo, para PS4 PS5 Xbox PC Switch Tableta Laptop Por solo 39,99 € 24,99 €
Hp Elite 8300 - Ordenador de sobremesa + Monitor 24'' (Intel Core i5-3470, 8GB de RAM, Disco de 240 SSD+ 500GB HDD, Lector DVD, WiFi,Windows 10 Pro 64) (Reacondicionado) Por solo 205,00 €
205,00 €
Kingston DataTraveler Exodia M DTXM/128GB USB 3.2 Gen 1 - con capuchón móvil en múltiples colores Por solo 11,99 € 7,95 €
SanDisk Ultra microSDXC UHS-I memory card 128 GB + adapter (A1, Class 10, U1, Full HD videos, up to 120 MB/s read speed),, Speed-Mbps/10x Por solo 22,99 € 14,19 €
QGECEN RCA a HDMI, Adaptador AV a HDMI de Audio y Video Soporte 1080P con Cable de Alimentación USB para Wii PS2 Gamecube VHS Camara Laptop DVD Proyector Por solo 11,99 €
11,99 €
HP 302XL F6U68AE, Negro, Cartucho de Tinta de Alta Capacidad Original, Compatible con impresoras de inyección de tinta HP DeskJet 1110, 2130, 3630; HP ENVY 4520; HP OfficeJet 3830, 4650, 5220, 5230 Por solo 39,99 € 33,00 €
KIMISS Disco Duro Externo 1Tb Disco Duro Externo Abs 2.5 Pulgadas Usb3.0 Sata3.0 Alta Velocidad 6Gbps Caja de Disco Duro Móvil Admite Aceleración Uasp de 6Tb (Negro) (Rojo) Por solo 7,85 €
7,85 €
Lenovo IdeaPad 3 Gen 6 - Ordenador Portátil 15.6" FullHD (Intel Core i5-1135G7, 8GB RAM, 512GB SSD, Intel Iris Xe Graphics, Windows 11 Home en modo S) Gris ártico - Teclado QWERTY Español Por solo 649,00 € 549,00 €
Lenovo IdeaPad 3 Gen 6 - Ordenador Portátil 15.6" FHD (Intel Core i5-1155G7, 8GB RAM, 512GB SSD, Intel Iris Xe Graphics, Sin Sistema Operativo) Teclado QWERTY Español - Azul Por solo 529,00 € 429,00 €
MINIS FORUM Mini PC UM560 XT AMD Ryzen 5 5600H 6 núcleos/12 subprocesos, 16 GB de RAM 512 GB SSD PCIe, ordenador en miniatura, ranura SATA de 2,5 pulgadas, 2 x HDMI y USB-C, 2,5G RJ45, 6 x puertos USB Por solo 429,99 €
429,99 €
USB WiFi Antenna WiFi Antenna WiFi USB, 3.0 Adaptador WiFi, Adaptador Red WiFi 5dBi 1300M Dual Band / 2.4G/5G 802.11ac, Nero,per Windows 7/10/11 Por solo 9,99 €
9,99 €
HP EliteDesk 800 G1 - Ordenador de sobremesa (Intel Core i5-4570, 16GB de RAM, Disco SSD de 240GB+500 HDD, Lector DVD, Windows 10 Pro ES 64) - Negro (Reacondicionado) Por solo 119,00 € 109,00 €
