安全研究人员声称,按摩浴缸SmartTub应用程序的Web界面中的漏洞可能使攻击者能够查看并可能操纵热水浴缸所有者的个人数据。除了Android或iOS应用程序外,SmartTub还提供了一个位于热水浴缸内的模块,可提供状态更新并执行有关设置水温、打开水射流或灯等的命令——尽管没有迹象表明此功能受到影响缺陷。Eaton Zveare设法绕过Smarttub.io登录页面,进入两个仅供内部使用的管理面板。
这些问题现在已经修复,尽管Zveare声称他没有收到有关修复的通知,并且Jacuzzi未能回复他的大部分电子邮件。按摩浴缸尚未回复我们的评论邀请。如果他们这样做,我们将更新这篇文章。
据研究人员称,滥用这些漏洞会暴露世界各地用户的名字、姓氏和电子邮件地址。他在一篇技术文章中警告说:“创建一个脚本来下载所有用户信息是微不足道的。可能已经完成了。”
第一个管理面板是在使用Zveare的客户凭据进行登录尝试返回“未经授权”屏幕后访问的,但之前有短暂的——“眨眼,你会错过它”——重定向到使用屏幕录像机捕获的管理面板。
这个安全漏洞短暂地显示了与美国及其他地区多个按摩浴缸品牌相关的数据。
Smarttub.io的单页应用程序(SPA)的JavaScript包显示用户名和密码已发送到第三方身份验证平台Auth0进行验证。
Zveare使用Fiddler工具修改HTTP响应以伪装成管理员角色——让他可以完全访问管理面板和“惊人”的数据量。
“我可以查看每个水疗中心的详细信息,查看其所有者,甚至删除其所有权”,他解释道。“我可以查看每个用户帐户,甚至可以编辑它们”。
然而,Zveare拒绝冒险测试“如果任何改变真的能拯救”。
第二个管理控制台的登录屏幕虽然不是Auth0品牌,但“似乎”接受了他的凭据,但生成了JavaScript浏览器警报拒绝权限。
相应的JavaScript包包含浏览器警报和isAdmin检查的代码,他指出,除了管理员和用户组在第一个面板上也可见,第二个面板还包含管理工具和开发组。
在Chrome本地覆盖功能的帮助下,研究人员加载了一个修改后的JavaScript包文件,该文件强制canUseTools、checkAdmin和checkDevTeam在所有情况下都返回true。“这样,我不需要每次都拦截HTTP响应来修改组,”Zveare说。
这揭示了制造日志、序列号更新部分以及扩展您的手机(移动)数据订阅的选项——“或缩短其他人的”——以及创建、修改和删除浴缸颜色或型号和许可热水浴缸经销商的选项。
Zveare详述的冗长披露过程始于12月3日的初步通知,但显然未能引起回应。
Zveare在1月4日寻求Auth0的帮助,并表示身份验证供应商立即重现了该问题,联系了Jacuzzi,发现第一个管理面板已被关闭。
6月4日,他注意到第二个管理面板终于得到保护,然后在6月20日披露了这些漏洞。
“在通过三个不同的Jacuzzi/SmartTub电子邮件地址和Twitter进行多次联系尝试后,直到Auth0介入后才建立对话,”Zveare说。
“即便如此,与Jacuzzi/SmartTub的沟通最终完全中断,没有任何正式结论或承认他们已经解决了所有报告的问题。”
相比之下,研究人员感谢Auth0安全团队提供的帮助,尽管没有义务这样做。“如果没有他们的帮助,这种披露可能会一直停滞不前,”他补充道。
评论已关闭。