智能按摩浴缸SmartTub功能存漏洞，会泄露用户数据

安全研究人员和道德黑客伊顿·兹维雷 (EatonWorks)发现，世界知名的按摩浴缸品牌生产的浴缸中，使用的应用程序SmartTub功能存在安全漏洞，该漏洞允许攻击者查看和滥用热水浴缸用户的个人数据，存在数据泄露风险。目前，该问题已经修复。

漏洞细节

研究人员在 Jacuzzi Brand LLC 的 SmartTub 应用程序 Web 界面中发现了漏洞，这些漏洞可以将私人数据泄露给攻击者。据悉，这个已经得到修复，但是 Zveare 声称他没有收到有关修复的通知。此外，按摩浴缸没有回复他的电子邮件。

关于 SmartTub 应用程序

SmartTub 是一款适用于 iOS 和 Android 系统的按摩浴缸应用程序。它具有 SmartTub 功能，用户可以使用该功能通过模块远程连接到浴缸并接收状态更新或接受用户针对各种任务的命令。例如：它可以自动设置喷水、水温和开灯等。目前尚不清楚该漏洞是否影响了这些功能。

攻击场景解释

据一篇博客文章显示，Zveare 首先使用错误的凭据访问了 Smarttub.io 应用程序的管理面板，该凭据最初未被接受。然后他被重定向到一个显示页面，在那里他可以查看来自美国和其他地方的多个按摩浴缸品牌的数据。

此外，该应用程序的单页应用程序 (SPA) JavaScript 包显示用户名和密码已发送到第三方验证平台 Auth0。使用 Fiddler 工具，Zveare 将 HTTP 响应修改为伪装成管理员状态，并获得对面板和大量数据的完全访问权限。

因此，确定的问题是 Web 界面中安全性较差的管理控制台允许绕过管理员凭据。

数据可能被泄露

研究人员认为，如果该漏洞被滥用，可能会泄露用户的姓名、手机号码、电子邮件地址和其他敏感数据。这个问题将影响全世界的用户。

根据Zveare的说法，它可以查看“每个水疗中心”的详细信息，检查其所有者并删除其所有权。此外，他还可以查看用户帐户并对其进行编辑。但是，他因为担心更改会被保存，所以没有测试它。

如何有效防止隐私数据信息泄露

1、不要随意丢弃含有个人信息的票据：像火车票、快递单、银行对账单等。

2、不要使用不正规的招聘网站或软件：我们的个人呢简历中往往是填写有详细的个人信息的，这些个人信息一旦被泄露出去，后果不堪设想。

3、尽量不要使用危险的公共WiFi：公共WiFi容易受到黑客攻击，一旦使用了那些遭到黑客攻击的公共WiFi平台，你的上网信息将极有可能会被黑客监视，导致重要密码、数据、姓名、地址信息等信息会泄露。

4、注册各类应用、网站要尽量赋予最少的信息和权限：无论是网络购物，还是虚拟社区注册，或是在社交工具上发布信息，都会留下个人信息，填写时一定要谨慎小心。

数据泄露给用户的生活带来安全隐患，用户的个人信息如果被曝光，就会面临人身安全和财产安全的威胁。面对严峻的数据泄露形势，加强数据自身安全迫在眉睫。及时修复漏洞，升级最新系统，并不断加强安全意识，做好安全防护措施，才能尽量避免数据泄露的发生。