PINlek laat hacker slim toilet doortrekken
Een kwetsbaarheid in de Android-app van de Japanse sanitairfabrikant LIXIL maakt het mogelijk om via Bluetooth allerlei slimme toiletten te bedienen. De Satis is een slim toilet dat via de door LIXIL ontwikkelde 'My Satis' Android-app te bedienen is. De app laat gebruikers via Bluetooth met het toilet communiceren en biedt vervolgens verschillende opties en houdt het verbruik bij.
Beveiligingsbedrijf Trustwave ontdekte een kwetsbaarheid in de Android-app. Die blijkt een vaste Bluetooth PIN van '0000' te gebruiken. Daardoor kan iedereen die de My Satis-app downloadt elk willekeurig Satis-toilet bedienen.
Reactie
Een aanvaller zou bijvoorbeeld het toilet herhaaldelijk kunnen doortrekken, waardoor de waterkosten voor de eigenaar toenemen, aldus Trustwave. Een ander aanvalsscenario is het onverwachts openen en sluiten van de toiletbril, het bidet activeren of de luchtdroger inschakelen, wat allerlei ongemakken voor de eigenaar kan veroorzaken, zo meldt het beveiligingsbedrijf in de advisory.
De kwetsbaarheid heeft CVE-nummer 2013-4866 toegekend gekregen. Het probleem werd op 14 juni aan LIXIL gerapporteerd, maar het bedrijf gaf geen enkele reactie. Ook pogingen op 10 en 12 juli bleven vruchteloos, waarop Trustwave tot publicatie van de details overging.
Zit je lekker te kakken wordt in eens je poeperd ongewild gewassen.
Ik gebruik liever de spoelknop ipv mijn telefoon. (die gaat sowieso nooit mee het toilet in)
Was er laatst niet een onderzoek dat aantoonde dat er op een telefoon gemiddeld meer bacterien zaten dan op een toiletbril?
Dat wordt er nu nog erger.
Iemand die z'n standaard wachtwoord "admin" op zijn/haar router laat staan na ingebruikname heeft toch ook niet ineens een "veiligheidslek in de applicatie"?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
