Ko hekerji odkrijejo vašo toplo vodo

Varnostno podjetje Pen Test Partners je razkrilo, da so opozorila glede varnosti IoT naprav docela utemeljena in vredna pozornosti. Uporabnik jih je namreč opozoril na masažne kadi proizvajalca Balboa Water Group (BWG), ki so zasnovane tako, da jih je prek aplikacije mogoče upravljati na daljavo. Denimo, na poti domov vklopiti gretje vode, da nas ta ob prihodi pričaka na pravi temperaturi. Ali pa da gretje na daljavo ugasnemo, če se nam zdi, da smo to pozabili.

Pri Pen Test Partners so se zadeve lotili po vseh pravilih, najprej so kupili omenjeno kad ("That was an entertaining $5,000 conversation with our CFO!") in ugotovili, da se mobilna aplikacija povezuje na Wi-Fi dostopno točko, ki je vgrajena v samo kad. Težava je v tem, da je dostopna točka odprta oz. sta uporabniško ime in geslo statična ter prednastavljena že v tovarni. Kar na kratko pomeni, da lahko vsakdo, ki se potrudi priti v bližino vašega doma, upravlja s pomembnim delom vaše kopalnice. Raziskovalci so v eni od znanih javnih baz brezžičnih omrežij udarili iskalno poizvedbo BWGSpa med SSIDji in tako preprosto prišli do fizičnih lokacij takih kadi.

Še huje je, da je vmesnik v banji moč nastaviti tudi tako, da postane ena od naprav priključnih na domači router, dostop do nje pa je v tem primeru mogoče vzpostaviti od kjerkoli in ji prek APIja pošiljati ukaze. S tem je seveda mogoče povzročati škodo, denimo trošiti električno energijo, medtem, ko nas ni doma. Morda še za odtenek huje pa je, da je na ta način mogoče preverjati delovanje vodnih šob, ki delujejo le takrat, ko se nekdo nahaja v kadi. Slednje pomeni, da lahko neznanci vsak trenutek preverijo ali se pri vas morda kdo kopa.

Najhujši del raziskave pa predstavlja odziv podjetja BWG, kjer se na vprašanja Pen Test Partners sploh niso odzivali, dokler ti niso na pomoč poklicali medijske moči BBC. Šele novinarjem so v družbi razložili, da uporabniških imen in gesel v svoj izdelek niso vpeljali zaradi preprostosti uporabe, obenem pa so jih prosili, naj objavo prispevka zamaknejo, da ljudem z ugašanjem APIja ne bi kvarili čofotanja med božičnimi prazniki. Če povzamemo, zanimal jih je le ugled svoje blagovne znamke, ne pa tudi varnost in zasebnost svojih kupcev.