Britse beveiligingsonderzoekers hebben ontdekt dat het makkelijk is om hot tubs te hacken die worden bediend met de Balboa Water App.
“Het is makkelijk om de temperatuur te verlagen, zodat je niet in je hot tub kunt zitten”, schrijven de onderzoekers van Pen Test Partners. “Het is ook mogelijk om het water permanent te verhitten, en zo elektriciteit te verspillen.”
Het bedienen van de jacuzzi via de app kan als je in de buurt van de hot tub bent, ook als je helemaal niet de eigenaar bent van het betreffende bubbelbad. Elke vorm van beveiliging ontbreekt. “Iedereen kan in de buurt van je huis gaan staan en zijn smartphone aan jouw hot tub verbinden.”
Waterstraal in gezicht
Ook op de beveiliging van het bedienen van de hot tub op afstand, via internet, valt het nodige af te dingen, stelt Pen Test Partners. Zo wordt er gebruikgemaakt van een standaardwachtwoord en is het vinden van de voor het inloggen benodigde ID’s van de bubbelbaden een eitje.
Vervolgens is het mogelijk om via de app op afstand van alles uit te halen met de warmwaterbaden. “Je kunt ook controle krijgen over de pompen en fonteinen”, vertelt security-onderzoeker Ken Munro in een YouTube-video. Het gevolg daarvan wordt direct geïllustreerd in de video: Munro krijgt in een waterstraal in zijn gezicht.
Balboa heeft beloofd het lek voor eind februari op te lossen. Balboa reageerde overigens pas toen de BBC kort voor kerst contact opnam met het bedrijf. Een eerdere waarschuwing van Pen Test Partners werd genegeerd.