l+f: Ein Whirlpool voller Admins

Wenn die Authentifizierung ins Wasser fällt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge

(Bild: JLStock/Shutterstock.com)

Update
Von
  • Dennis Schirrmacher

Ein Sicherheitsforscher will sich in einem Whirlpool der US-amerikanischen Firma Jacuzzi entspannen. Doch als er sich die SmartTub-App zum Anpassen der Wassertemperatur und Beleuchtung des Whirlpools näher anschaut, wird er unverhofft zum Admin des Unternehmens.

In einem Beitrag führt er seine Entdeckungen aus. Als der Forscher sich einen Account für die App erstellt hat, trägt er sein Passwort und die zugehörige Website in seinen Passwortmanager ein. Aus Neugierde besucht er die Seite und versucht sich dort mit seinen Daten anzumelden. Das schlägt jedoch fehl. Einer Warnmeldung zufolge sei er nicht autorisiert. Bevor die Warnmeldung auftauchte, sah er aber ein Admin-Panel aufblitzen. Seine Neugier war geweckt.

Zur Authentifizierung setzt Jacuzzi die Auth0-Anmeldemethode ein. Die API ist ein weitverbreitetes All-in-one-Paket zur sicheren Anmeldung. Als der Sicherheitsforscher die Website analysiert, stößt er auf einen Admin-Check, der bei seinem Account logischerweise fehlschlägt. Doch eigenen Angaben zufolge konnte er mit vergleichsweise wenig Aufwand die HTTP-Antwort modifizieren und so den Check umgehen. Prompt fand er sich im Admin-Panel wieder und hatte Zugriff auf persönliche Informationen von Jacuzzi-Kunden.

Als er sich die Installationsdatei der Android-App anschaute, stieß er auf ein weiteres Admin-Panel. Hier konnte er sich mit angepasstem JavaScript-Code Zugang verschaffen und geschäftliche Informationen einsehen. Eigenen Angaben zufolge hätte er dort unter anderem Discountcodes erstellen können.

Die Schuld liegt ihm zufolge nicht bei Auth0, sondern an Jacuzzi. Das Unternehmen kontaktierte er Ende 2021. Die Kommunikation gestaltete sich jedoch als äußerst zäh und irgendwie passiert ihm zufolge gar nichts. Erst als der Sicherheitsforscher Auth0 ins Boot holte, die wiederum ihren Kunden kontaktierten, kam Schwung in die Sache und beide Admins-Panels sind mittlerweile nicht mehr erreichbar. Der ganze Prozess habe aber ein halbes Jahr nach der Entdeckung gedauert. Ob es unbefugte Zugriffe gegeben hat, ist derzeit unklar.

Update

Name des Authentifizierungsdienstleisters im Fließtext korrigiert.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(des)