{"id":267449,"date":"2022-06-22T11:30:37","date_gmt":"2022-06-22T09:30:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267449"},"modified":"2022-06-22T14:34:26","modified_gmt":"2022-06-22T12:34:26","slug":"sicherheitsforscher-findet-schwachstelle-in-jacuzzi-smarttub-portal","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/22\/sicherheitsforscher-findet-schwachstelle-in-jacuzzi-smarttub-portal\/","title":{"rendered":"Sicherheitsforscher findet Schwachstelle in Jacuzzi "SMARTTUB®"-Portal"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Whirlpools des Herstellers Jacuzzi sind auch in Deutschland verbreitet und finden sich auf manchen Terrassen. Einige Modelle sind dabei mit einem SMARTTUB\u00ae-System ausgestattet und lassen sich per Smartphone (Android, iPhone) remote verwalten. Ein Nutzer, der sich ein solches Modell gekauft hatte, wunderte sich bei der Inbetriebnahme \u00fcber einen Fehler im Portal zur Verwaltung des Zugangs. Bei seinen Nachforschungen stie\u00df er auf eine Schwachstelle, die ihm die Zugangsdaten anderer Benutzer verriet. Die Reaktion des Herstellers auf eine Meldung war alles andere als berauschend.<\/p>\n

<\/p>\n

Jacuzzi<\/a>\u00ae gilt als Erfinder des Whirlpools und dessen Produkte werden auch in Deutschland angeboten.<\/p>\n

\"Hersteller<\/a>
\nWebseite des Herstellers Jacuzzi<\/em><\/p>\n

Unter dem Punkt SmartTub(TM) ist eine Fern\u00fcberwachung des JACUZZI\u00ae WHIRLPOOLS per Smartphone m\u00f6glich. Nachfolgender Screenshot zeigt die Aussagen des Herstellers<\/a> zu diesen Funktionen.<\/p>\n

\"Jacuzzi<\/p>\n

Klingt gut, und es bliebt zu hoffen, dass da nicht jemand \"wir machen jetzt auch in IoT\" beschlossen und einen Entwickler dran gesetzt hat, der mal irgendwas macht.<\/p>\n

\u00dcberraschung f\u00fcr Besitzer<\/h2>\n

Ich bin \u00fcber nachfolgenden Tweet<\/a> von Catalin Cimpanu auf den Sachverhalt aufmerksam geworden.\u00a0 Ein Twitter-Nutzer mit dem Handle @XeEaton<\/a> hatte sich einen Whirlpool der Firma Jacuzzi\u00ae bestellt und dort auch die Option f\u00fcr den SmartTub(TM) geordert.<\/p>\n

\"Jacuzzi<\/a><\/p>\n

Als er dann das Ger\u00e4t in Betrieb nehmen wollte, erlebte er eine unangenehme \u00dcberraschung, wie er in diesem Tweet<\/a> und im Beitrag Hacking into the worldwide Jacuzzi SmartTub network<\/a> berichtet. Nach der Montage und Kopplung\/Aktivierung durch den H\u00e4ndler erstellte er ein Konto mit der betreffenden App und begann, damit herumzuspielen. Er f\u00fcgte das Kontopasswort zum Passwort-Manager hinzu und \u00fcberpr\u00fcfte, welche Website\/URL damit verkn\u00fcpft werden sollte. Die E-Mail zur Best\u00e4tigung des Kontos kam von smarttub.io<\/em>, also hat er diese Seite verwendet.<\/p>\n

Anschlie\u00dfend ging er zur Webseite smarttub.io<\/em> und versuchte sich dort anzumelden. SmartTub verwendet Auth0 f\u00fcr sein Login- und Benutzerkontosystem. Beim Versuch einer Anmeldung wurde er mit der Meldung\u00a0 \"Nicht autorisiert\" abgewiesen. Aber kurz vor dieser Fehlermeldung blitzte eine Tabelle samt einer Kopfzeile auf, die sofort verschwand, bevor er diese lesen konnte. Also benutzte er einen Bildschirmrekorder, um die angezeigten Seiten aufzuzeichnen. Der Mann war ziemlich \u00fcberrascht, als er feststellte, dass es sich um eine Verwaltungskonsole handelte. Diese war gem\u00e4\u00df dem Screenshot in obigem Tweet mit Benutzerdaten der Besitzer, die ein HotTub(TM) gef\u00fcllt war.<\/p>\n

Ein Blick auf die Daten zeigte, dass es Informationen f\u00fcr mehrere Marken – nicht nur aus den USA – gab. Es gibt einige @jacuzzi.eu-E-Mails und eine @hotmail.co.uk-E-Mail. Das alleine w\u00e4re schon ein Versto\u00df gegen die DSGVO (und auch gegen die Datenschutzgesetze Kaliforniens). Mit etwas Suchen im Quellcode war er in der Lage, auf das Admin-Portal der Verwaltungskonsole zuzugreifen und sich dort anzumelden. Anschlie\u00dfend stand ihm der gesamte Bestand der registrierten SmartTub(TM)-Konten zur Verf\u00fcgung. Er konnte die Besitzer sehen und sogar deren Besitz aufheben. Zudem erhielt er weiteren Zugriff auf ein anderes Administrator-Konto und konnte sogar Produktionsdaten einsehen – die gesamte Sache war schlecht abgesichert.<\/p>\n

Das Ganze wurde dem Hersteller am 3. Dezember 2021 gemeldet, aber es kam keine Reaktion. Der Besitzer versuchte an weiteren Tagen den Hersteller per E-Mail zu benachrichtigen, hatte aber keinen Erfolg. Er versuchte sogar den Auth0-Support in den Fall einzubeziehen, da Jacuzzi deren Authentifizierung verwendet – aber auch hier kein Erfolg. Bis zum heutigen Tag hat er wohl keine R\u00fcckmeldung des Herstellers erhalten, stellte aber fest, dass das zweite Administrator-Konto zwischenzeitlich abgesichert worden ist. Am 20. Juni 2022 hat er dann die Details im Beitrag Hacking into the worldwide Jacuzzi SmartTub network<\/a> offen gelegt. Der Vorfall zeigt erneut, dass viele Hersteller ihre IoT-Geschichten und Kundenportale sehr schlecht im Griff haben. Problem ist, dass dann auf Hinweise nicht reagiert wird.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Whirlpools des Herstellers Jacuzzi sind auch in Deutschland verbreitet und finden sich auf manchen Terrassen. Einige Modelle sind dabei mit einem SMARTTUB\u00ae-System ausgestattet und lassen sich per Smartphone (Android, iPhone) remote verwalten. Ein Nutzer, der sich ein solches Modell gekauft … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-267449","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=267449"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267449\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=267449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=267449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=267449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}