Le vasche idromassaggio collegate a Internet possono essere hackerate e controllate da remoto
Le vasche idromassaggio dovrebbero essere un ottimo modo per rilassarsi, ma è un po 'più difficile da fare quando non si ha il controllo su di loro. Migliaia di vasche idromassaggio che gestiscono un sistema realizzato da Balboa Water Group hanno exploit che possono essere violati per consentire agli attori malintenzionati di controllarli a distanza, secondo un recente rapporto della BBC .
Il problema, scoperto dai ricercatori di sicurezza della società di sicurezza Pen Test Partners con sede nel Regno Unito, nasce da un'app mobile che consente ai proprietari di vasche idromassaggio di controllare le proprie vasche dal proprio telefono. Gli aggressori potrebbero teoricamente raccogliere informazioni trovate su risorse pubbliche per trovare case con le vasche idromassaggio vulnerabili e bersagliarle. Gli attori malintenzionati potrebbero utilizzare database di terze parti per trovare i dati di posizione GPS di una determinata vasca e dirottarli. Non c'è autenticazione che impedisca agli hacker di entrare nel sistema.
Una volta che gli attaccanti hanno scelto il bersaglio, possono assumere il controllo della vasca da remoto. Ciò significa che possono rendere la temperatura più calda o più fredda, prendere il controllo di pompe e getti e cambiare le luci. L'intero attacco può essere eseguito su uno smartphone o un laptop.
Secondo la BBC, il Balboa Water Group è stato colto alla sprovvista dal rapporto e ha affermato di essere "sorpreso" di apprendere la vulnerabilità. L'app mobile che offre agli utenti la possibilità di controllare da remoto la propria vasca idromassaggio è disponibile da circa cinque anni e gli utenti non hanno mai segnalato problemi o tentativi di hacking, secondo l'azienda.
Balboa Water Group sta affrontando il problema della sicurezza e prevede di rattopparlo entro la fine di febbraio – il che è un tempo lungo per lasciare un difetto noto senza patch e disponibile per lo sfruttamento. La società sta lavorando con i suoi clienti per impostare i nomi utente e le password individuali in modo che possano proteggere le loro app. In precedenza, ha deciso di non consentire agli utenti di impostare account personali perché desiderava semplificare il processo di attivazione. Anche se ciò avrebbe potuto rendere le cose più convenienti, la decisione ha anche rivelato agli utenti di avere il loro tempo personale nella vasca idromassaggio interrotto dagli hacker.
( Fonte )
