image

Duizenden jacuzzi's door lek op afstand te bedienen

donderdag 27 december 2018, 10:28 door Redactie, 10 reacties

Duizenden jacuzzi's zijn door een beveiligingslek op afstand door aanvallers te bedienen, zo heeft een Brits securitybedrijf ontdekt. Het gaat om jacuzz's van fabrikant Balboa Water Group (BWG), die zijn voorzien van een eigen wifi-accesspoint. Via een app van BWG is het mogelijk om de watertoevoer en de temperatuur in te stellen.

De app kan als een client verbinding maken en de jacuzzi lokaal bedienen. Het kan de jacuzzicontroller ook configureren zodat het als een client op het thuisnetwerk beschikbaar is. Op deze manier is het mogelijk om via een programmeerinterface (API) de jacuzzi waar dan ook ter wereld te bedienen. Wereldwijd zouden er meer dan 30.000 BWG-jacuzzi's online zijn.

Onderzoeker Ken Munro van Pen Test Partners ontdekte dat het wifi-netwerk van de jacuzzi niet beveiligd is. Iedereen in de buurt kan er verbinding mee maken en zo het apparaat bedienen. Munro wilde ook kijken of hij alle jacuzzi's van BWG kan bedienen, waar ze zich ook bevinden. Dit blijkt mogelijk via de API. Die maakt gebruik van een vast wachtwoord en gebruikt het mac-adres van het wifi-netwerk van de jacuzzi als identificatie.

Het achterhalen van alle mogelijke mac-adressen van de jacuzzi's bleek eenvoudig. Niet alleen kan een aanvaller zo de temperatuur bedienen en onnodig elektriciteit verspillen, het bubbelbad schakelt de blazers automatisch in wanneer iemand in de jacuzzi zit. Dit wordt weergegeven via de API. Een aanvaller kan zo zien wanneer iemand een bad aan het nemen is.

Pen Test Partners waarschuwde BWG voor de problemen, maar kreeg geen reactie. Pas nadat de BBC zich ermee bemoeide kwam het bedrijf met een verklaring. Het liet weten dat het opzettelijk voor een standaardwachtwoord en onbeveiligd wifi-netwerk had gekozen om het gebruiksgemak te vergroten. Munro heeft de details nu openbaar gemaakt omdat BWG het probleem eenvoudig kan verhelpen door de API uit de lucht te halen en gebruikers het advies te geven om hun jacuzzi van het internet af te sluiten.

Reacties (10)
27-12-2018, 10:35 door Anoniem
Damn, ik vond het wel een handige feature. Zo kon ik via IFTTT mijn webcam automatisch laten opnemen wanneer die leuke buurvrouw de jacuzi indook ;)
27-12-2018, 11:20 door Anoniem
Ik las 'Duizenden jacuzzi's lek door op afstand te bedienen'.
27-12-2018, 11:43 door Anoniem
Dit is nog wel het meest schokkende wat ze zeggen. :'Het liet weten dat het opzettelijk voor een standaardwachtwoord en onbeveiligd wifi-netwerk had gekozen om het gebruiksgemak te vergroten.'

Stel je voor dat je een nieuw huis koopt en het bouwbedrijf zegt dat ze geen sloten op de deuren gebruikt hebben om het gebruiksgemak te vergroten. Dat soort bouwbedrijven hebben toch geen bestaansrecht meer? Waarom BWG wel dan?

Zo'n jacuzzi is nog geen euro waard imo.
27-12-2018, 14:55 door Anoniem
Door Anoniem: Ik las 'Duizenden jacuzzi's lek door op afstand te bedienen'.
Ja, daar heb je helemaal niets aan. Een jacuzzi hoort niet lek te zijn. Dat is dus een ecologisch lek.
27-12-2018, 17:48 door Anoniem
Hulde voor de humor in het onderwerp!

Zelf heb ik Parkinson en vallende ziekte. Eenmaal in bad komen de bubbels vanzelf. En veilig! Probeer dat maar eens te hacken.
28-12-2018, 00:12 door [Account Verwijderd]
Installateur: "Op welke 'sewer' moet ik uw jacuzzi aansluiten? het internet of de riolering?"
En wáárom moet dat ding aangesloten op de wifi? Ik heb mijn CD speler ook niet aangesloten op de waterleiding, of mijn wasmachine op de CV. Ik bedoel... ik onnozele, internet dus nooit als ik bad zit. Hoe verzin je het.
In mijn achterhoofd blijft ook dat verhaal hangen van dood door haardroger in het bad.
Wat een kapsones toch allemaal.
(Doe mij gauw een lauwe douche.... 2 minuten per dag.)
29-12-2018, 14:31 door Anoniem
De hamvraag is natuurlijk nog steeds en wederom... waarom hangt dat ding aan internet?
30-12-2018, 17:33 door Anoniem
Ah, that good old quantum entanglement straaltje water. Daarover kun je niet alleen hacken, maar ook nog eens zeer snel
30-12-2018, 21:25 door Anoniem
Het beeld doemt op van een scène in de nieuwe James Bond film. Waarin de kwade hackende genius de mooie Bond vrouw langzaam, als een kikker in een jacuzzi, tracht gaar te koken.

Uiteraard weet James die aanslag op haar leven op het allerlaatste moment te verijdelen. James beland daarop met haar in bed. De gemene schurk valt uiteindelijk in zijn eigen kuil. Want zo hoort dat te gaan. Eind goed, al goed.
02-01-2019, 10:09 door Anoniem
Door Anoniem: De hamvraag is natuurlijk nog steeds en wederom... waarom hangt dat ding aan internet?

Het is hip en happening om alles maar op het internet te hangen. Dit gebeurt door bedrijven die meer verstand hebben van het waterdicht maken van hun ovesized badkuip dan van een internetverbinding.
Het zou niet verkeerd zijn om een keurmerk te verplichten voor alles wat men maar aan het internet wil hangen. Iemand met verstand van security kan dan bekijken of het wel echt veilig is.
Per slot van rekening moeten een simpele contactdoos ook aan een nen norm voldoen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.