Pouvoir contrôler la température de l’eau, l’éclairage et d’autres paramètres de votre jacuzzi l’utilisation d’un smartphone peut être pratique, mais un chercheur en sécurité a découvert de nouvelles vulnérabilités qui mettent en danger les utilisateurs du système SmartTub de Jacuzzi.
Comme son nom l’indique, SmartTub transforme un spa ordinaire en un appareil connecté en utilisant un module à l’intérieur de la baignoire avec des données cellulaires qui peuvent être contrôlées à distance depuis votre smartphone, mais le service prend également en charge Alexa, Google Assistant, les montres Wear OS et Apple Watch.
Tel que rapporté par Tech Crunch (s’ouvre dans un nouvel onglet)le chercheur en sécurité Eaton Zveare a découvert ces nouvelles failles dans le SmartTub de Jacuzzi après avoir tenté de se connecter au service à l’aide d’un gestionnaire de mots de passe. À sa grande surprise, il a été emmené sur le mauvais site Web où un en-tête et un tableau ont brièvement clignoté sur son écran avant qu’un message n’apparaisse indiquant qu’il n’était pas autorisé à entrer.
Il s’avère que l’en-tête et le tableau qu’Eaton a vus étaient en fait un panneau d’administration contenant les noms, les e-mails, la marque du spa, le modèle et le numéro de modèle des autres utilisateurs de SmartTub. Bien que le nombre d’utilisateurs concernés ne soit pas clair pour le moment, l’application SmartTub a été téléchargée plus de 10 000 fois depuis le Google Play Store.
Accès non autorisé aux panneaux d’administration
Après avoir découvert le panneau d’administration SmartTub, Eaton a ensuite utilisé un outil appelé Fiddler pour modifier du code et apparaître en tant qu’administrateur par opposition à un utilisateur ordinaire. Cela lui a permis d’avoir un accès complet au panneau de contrôle où il pouvait voir chaque compte d’utilisateur et même modifier les informations qu’ils contenaient.
Alors que le premier panneau d’administration contenait des informations sur l’utilisateur et le spa, Eaton a également trouvé un deuxième panneau d’administration lors de l’examen de l’application Android SmartTub. En chargeant un fichier de bundle JavaScript modifié, il a pu contourner les restrictions protégeant le deuxième panneau d’administration.
Avec un accès complet au deuxième panneau d’administration, Eaton a découvert qu’il était capable d’afficher et de modifier les numéros de série des produits, de consulter une liste de revendeurs de spas agréés et même de consulter les journaux de fabrication.
Suite à sa découverte, Eaton a divulgué de manière responsable ses découvertes à Jacuzzi pour les informer des vulnérabilités de SmartTub afin qu’elles puissent être corrigées. Il a d’abord contacté l’entreprise en décembre, mais une fois la communication entre eux tarie, Eaton a été contraint de se tourner vers AuthO qui gère les connexions et les comptes d’utilisateurs pour Jacuzzi. Une fois qu’Auth0 a contacté l’entreprise, les vulnérabilités du panneau d’administration SmartTub ont été corrigées.
Comment vérifier si vos données personnelles ont été exposées en ligne
Si Eaton a pu accéder facilement aux données des utilisateurs de SmartTub, y compris les noms et les e-mails des clients, les cybercriminels auraient peut-être pu le faire aussi bien avant que les vulnérabilités en question ne soient corrigées.
Pour cette raison, les utilisateurs de SmartTub doivent utiliser Ai-je été pwned (s’ouvre dans un nouvel onglet) ou d’autres outils similaires pour voir si leur adresse e-mail ou d’autres données sont actuellement disponibles sur le dark web. Gardez cependant à l’esprit que votre adresse e-mail pourrait avoir été exposée lors d’une violation de données distincte.
Comme c’est le cas avec tous les appareils connectés, la commodité a un coût, c’est pourquoi vous voudrez peut-être revenir au réglage manuel de votre spa si vous tenez à votre vie privée et à votre sécurité.