PINlek laat hacker slim toilet doortrekken
Een kwetsbaarheid in de Android-app van de Japanse sanitairfabrikant LIXIL maakt het mogelijk om via Bluetooth allerlei slimme toiletten te bedienen. De Satis is een slim toilet dat via de door LIXIL ontwikkelde 'My Satis' Android-app te bedienen is. De app laat gebruikers via Bluetooth met het toilet communiceren en biedt vervolgens verschillende opties en houdt het verbruik bij.
Beveiligingsbedrijf Trustwave ontdekte een kwetsbaarheid in de Android-app. Die blijkt een vaste Bluetooth PIN van '0000' te gebruiken. Daardoor kan iedereen die de My Satis-app downloadt elk willekeurig Satis-toilet bedienen.
Reactie
Een aanvaller zou bijvoorbeeld het toilet herhaaldelijk kunnen doortrekken, waardoor de waterkosten voor de eigenaar toenemen, aldus Trustwave. Een ander aanvalsscenario is het onverwachts openen en sluiten van de toiletbril, het bidet activeren of de luchtdroger inschakelen, wat allerlei ongemakken voor de eigenaar kan veroorzaken, zo meldt het beveiligingsbedrijf in de advisory.
De kwetsbaarheid heeft CVE-nummer 2013-4866 toegekend gekregen. Het probleem werd op 14 juni aan LIXIL gerapporteerd, maar het bedrijf gaf geen enkele reactie. Ook pogingen op 10 en 12 juli bleven vruchteloos, waarop Trustwave tot publicatie van de details overging.
Zit je lekker te kakken wordt in eens je poeperd ongewild gewassen.
Ik gebruik liever de spoelknop ipv mijn telefoon. (die gaat sowieso nooit mee het toilet in)
Was er laatst niet een onderzoek dat aantoonde dat er op een telefoon gemiddeld meer bacterien zaten dan op een toiletbril?
Dat wordt er nu nog erger.
Iemand die z'n standaard wachtwoord "admin" op zijn/haar router laat staan na ingebruikname heeft toch ook niet ineens een "veiligheidslek in de applicatie"?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
