Selon un chercheur en sécurité, des vulnérabilités dans l’interface Web de l’application SmartTub de Jacuzzi auraient pu permettre à un attaquant de visualiser et potentiellement de manipuler les données personnelles des propriétaires de spas.
En plus d’une application Android ou iOS, SmartTub fournit un module qui se trouve dans les spas fournissant des mises à jour d’état et remplissant des commandes concernant le réglage de la température de l’eau, l’activation des jets d’eau ou des lumières, etc. – bien que rien ne suggère que cette fonctionnalité ait été affectée par le défauts.
Eaton Zveare réussi à contourner les pages de connexion Smarttub.io pour atteindre deux panneaux d’administration destinés à un usage interne uniquement.
Les problèmes ont maintenant été corrigés, bien que Zveare ait affirmé qu’il n’avait pas été informé des correctifs et que Jacuzzi n’avait pas répondu à la plupart de ses e-mails. Jacuzzi n’a pas encore répondu à notre invitation à commenter. Nous mettrons à jour cet article si et quand ils le font.
Selon le chercheur, l’abus des vulnérabilités a exposé les prénoms, les noms et les adresses e-mail d’utilisateurs du monde entier. Dans un rédaction technique il a prévenu : « Il serait trivial de créer un script pour télécharger toutes les informations des utilisateurs. Il est possible que cela ait déjà été fait. »
‘Échelonnement’
Le premier panneau d’administration a été consulté après qu’une tentative de connexion à l’aide des informations d’identification du client de Zveare a renvoyé un écran « non autorisé », mais a été brièvement précédé – « clignote et vous le manqueriez » – par une redirection vers le panneau d’administration capturé avec un enregistreur d’écran.
Cette faille de sécurité a montré de manière fugitive des données relatives à plusieurs marques de Jacuzzi aux États-Unis et au-delà.
Un ensemble JavaScript pour l’application à page unique (SPA) de Smarttub.io a révélé que les noms d’utilisateur et les mots de passe étaient envoyés à la plate-forme d’authentification tierce Auth0 pour validation.
Zveare a utilisé l’outil Fiddler pour modifier la réponse HTTP afin de se faire passer pour un administrateur, ce qui lui a donné un accès complet au panneau d’administration et une quantité « époustouflante » de données.
« Je pouvais voir les détails de chaque spa, voir son propriétaire, et même retirer sa propriété », a-t-il expliqué. « Je pouvais voir tous les comptes d’utilisateurs et même les modifier ».
Cependant, Zveare a refusé de tester le risque « si des changements pouvaient réellement sauver ».
Services dorsaux
L’écran de connexion de la deuxième console d’administration, bien que n’étant pas de marque Auth0, « semblait » accepter ses informations d’identification, mais a généré une alerte de navigateur JavaScript refusant l’autorisation.
Le bundle JavaScript correspondant comportait le code pour l’alerte du navigateur et estAdmin check, et il a noté qu’à côté des groupes d’administrateurs et d’utilisateurs également visibles sur le premier panneau, le deuxième panneau présentait des outils d’administration et des groupes de développement.
A NE PAS MANQUER Les vulnérabilités du contrôle d’accès HID Mercury laissent la porte ouverte à la manipulation des serrures
Avec l’aide de la fonctionnalité Chrome Local Overrides, le chercheur a chargé un fichier de bundle JavaScript modifié qui a forcé canUseTools, checkAdminet checkDevTeam rendre vrai dans tous les cas. « De cette façon, je n’ai pas eu besoin d’intercepter la réponse HTTP à chaque fois pour modifier les groupes », a déclaré Zveare.
Cela a révélé des journaux de fabrication, une section de mise à jour du numéro de série et des options pour prolonger votre abonnement aux données cellulaires (mobiles) – « ou raccourcir celui de quelqu’un d’autre » – et créer, modifier et supprimer des couleurs ou des modèles de baignoire et des revendeurs de spa agréés.
Divulgation lourde
Un long processus de divulgation détaillé par Zveare a commencé avec une notification initiale le 3 décembre, qui n’a apparemment pas suscité de réponse.
Zveare a demandé l’aide d’Auth0 le 4 janvier et a déclaré que le fournisseur d’authentification avait immédiatement reproduit le problème, contacté Jacuzzi et découvert que le premier panneau d’administration avait été fermé.
Le 4 juin, il a remarqué que le deuxième panneau d’administration avait finalement été sécurisé, puis a divulgué les vulnérabilités le 20 juin.
« Après plusieurs tentatives de contact via trois adresses e-mail Jacuzzi/SmartTub différentes et Twitter, un dialogue n’a pas été établi jusqu’à ce qu’Auth0 intervienne », a déclaré Zveare.
« Même alors, la communication avec Jacuzzi / SmartTub a finalement complètement disparu, sans aucune conclusion formelle ni reconnaissance, ils ont résolu tous les problèmes signalés. »
En revanche, le chercheur a remercié l’équipe de sécurité Auth0 pour son aide bien qu’elle n’ait aucune obligation de le faire. « Sans leur aide, cette divulgation serait probablement restée au point mort », a-t-il ajouté.