Хакер #305. Многошаговые SQL-инъекции
Повальная небезопасность устройств интернета вещей, это далеко не новость. Уязвимости обнаруживают не только в домашних роутерах, но и в холодильниках, телевизорах, кофеварках и даже елочных гирляндах.
Очередную яркую демонстрацию небезопасности IoT устроили специалисты компании Pen Test Partners в эфире передачи Click на телеканале BBC. Специалисты показали взлом «умной» гидромассажной ванны компании Balboa Water Group (BWG), управлять которой можно через специальное приложение.
Как оказать, «умные» джакузи можно легко обнаружить с помощью обычного вардрайвинга (wardriving) и публичных баз такого рода. А приложение для управления ваннами не оснащено сколь-нибудь надежной аутентификацией, то есть злоумышленник без труда может перехватить контроль над работой насосов, регуляцией температуры и другими функциями. Хуже того, исследователи рассказывают, что гидромассаж работает лишь тогда, когда владелец пользуется ванной. То есть хакер может узнать, принимаете вы сейчас ванну или нет. Аналитики отмечают, что это «жутковато».
Инженеры BWG уже были проинформированы о проблемах и пообещали выпустить патчи до конца февраля 2019 года. В компании были очень удивлены предупреждением Pen Test Partners, ведь приложение и «умные» джакузи доступны по всему миру уже более пяти лет, но за все это время их владельцы не сообщали о каких-либо проблемах.
«Производители по-прежнему не относятся к безопасности серьезно, и пользователям нужно сохранять повышенную бдительность, — говорит основатель Pen Test Partners Кен Манро (Ken Munro). — Мы всегда рекомендуем немедленно сбрасывать любые дефолтные пароли устройств и немедленно придумывать новые и уникальные».