Een kwetsbaarheid in de Android-app van de Japanse sanitairfabrikant LIXIL maakt het mogelijk om via Bluetooth allerlei slimme toiletten te bedienen. De Satis is een slim toilet dat via de door LIXIL ontwikkelde 'My Satis' Android-app te bedienen is. De app laat gebruikers via Bluetooth met het toilet communiceren en biedt vervolgens verschillende opties en houdt het verbruik bij.
Beveiligingsbedrijf Trustwave ontdekte een kwetsbaarheid in de Android-app. Die blijkt een vaste Bluetooth PIN van '0000' te gebruiken. Daardoor kan iedereen die de My Satis-app downloadt elk willekeurig Satis-toilet bedienen.
Reactie
Een aanvaller zou bijvoorbeeld het toilet herhaaldelijk kunnen doortrekken, waardoor de waterkosten voor de eigenaar toenemen, aldus Trustwave. Een ander aanvalsscenario is het onverwachts openen en sluiten van de toiletbril, het bidet activeren of de luchtdroger inschakelen, wat allerlei ongemakken voor de eigenaar kan veroorzaken, zo meldt het beveiligingsbedrijf in de advisory.
De kwetsbaarheid heeft CVE-nummer 2013-4866 toegekend gekregen. Het probleem werd op 14 juni aan LIXIL gerapporteerd, maar het bedrijf gaf geen enkele reactie. Ook pogingen op 10 en 12 juli bleven vruchteloos, waarop Trustwave tot publicatie van de details overging.
Deze posting is gelocked. Reageren is niet meer mogelijk.