{"id":293,"date":"2022-06-23T15:11:09","date_gmt":"2022-06-23T15:11:09","guid":{"rendered":"https:\/\/securitybriefing.net\/?p=293"},"modified":"2022-06-23T15:11:09","modified_gmt":"2022-06-23T15:11:09","slug":"jacuzzi-app-sarbarhed-afslorer-private-data","status":"publish","type":"post","link":"https:\/\/securitybriefing.net\/da\/cyberangreb\/jacuzzi-app-sarbarhed-afslorer-private-data\/","title":{"rendered":"S\u00e5rbarhed i Jacuzzi-app afsl\u00f8rer private data"},"content":{"rendered":"

Du b\u00f8r l\u00e6se dette, hvis du er en af de millioner, der ejer et boblebad fra Jacuzzi. Forskere har identificeret en s\u00e5rbarhed i SmartTub-funktionen i Jacuzzi Brand-appen, som kan afsl\u00f8re dine private data for ondsindede fjernangribere. S\u00e5rbarheden findes i appens webinterface og kan give angribere adgang til brugernes personlige oplysninger, herunder deres navn, adresse, e-mailadresse og telefonnummer. S\u00e5 hvis du har et boblebad af m\u00e6rket Jacuzzi, skal du opdatere din SmartTub-app s\u00e5 hurtigt som muligt!<\/span><\/p>\n

Om SmartTub-appen<\/span><\/strong><\/h2>\n

Jacuzzi Brand-appen er en gratis mobilapplikation, der giver brugerne mulighed for at styre deres Jacuzzi-spabad fra deres smartphones. Appen indeholder funktioner som f.eks. muligheden for at t\u00e6nde og slukke for spabadet p\u00e5 afstand, indstille temperaturen, planl\u00e6gge opvarmningstider og meget mere. Appen har ogs\u00e5 en webgr\u00e6nseflade, der giver brugerne adgang til deres kontooplysninger og status for deres Jacuzzi-spabad.<\/span><\/p>\n

Hvad er problemet?<\/span><\/strong><\/h2>\n

S\u00e5rbarheden findes i, hvordan SmartTub-funktionen i Jacuzzi Brand-appen h\u00e5ndterer brugerinput. Specifikt undlader den at validere eller rense brugerleverede data korrekt, f\u00f8r den viser dem tilbage til brugeren. Denne s\u00e5rbarhed kan g\u00f8re det muligt for en angriber at levere ondsindet input, der vil resultere i, at appen viser f\u00f8lsomme oplysninger, s\u00e5som brugerens navn, adresse, e-mailadresse og telefonnummer.<\/span><\/p>\n

Angrebsscenarie forklaret<\/span><\/strong><\/h2>\n

En angriber skal f\u00f8rst f\u00e5 adgang til brugerens Jacuzzi-konto for at udnytte denne s\u00e5rbarhed. Hackeren kunne stj\u00e6le brugerens legitimationsoplysninger (brugernavn og adgangskode) gennem phishing eller andre metoder. N\u00e5r angriberen har f\u00e5et adgang til brugerens konto, kan de levere skadelig input til SmartTub-funktionen i appen, som ville f\u00e5 den til at vise f\u00f8lsomme oplysninger.<\/span><\/p>\n

Hvad blev data udsat for?<\/span><\/strong><\/h2>\n

De data, der kan blive eksponeret p\u00e5 grund af denne s\u00e5rbarhed, omfatter brugerens navn, adresse, e-mailadresse og telefonnummer.<\/span><\/p>\n

Hvordan bruger hackere disse oplysninger?<\/span><\/strong><\/h2>\n

De f\u00f8lsomme oplysninger, der kan blive eksponeret som f\u00f8lge af denne s\u00e5rbarhed, kan bruges af angribere til forskellige form\u00e5l, f.eks. identitetstyveri, svindel eller m\u00e5lrettede phishing-angreb.<\/span><\/p>\n