Un’azienda giapponese, Lixil, produce un avveniristico WC, denominato Satis, che integra diverse funzionalità “intelligenti”. La smart toilet rileva la presenza della persona e apre automaticamente il coperchio, emette un deodorante durante l’espletamento delle funzioni corporali, scarica l’acqua quando l’utilizzatore si alza dalla tazza, si illumina di notte e riproduce anche brani musicali “stimolanti”. Tutte le funzioni possono essere controllare via Bluetooth con uno smartphone Android.
Una società di sicurezza ha scoperto che l’app My Satis può essere utilizzata dai malintenzionati o da qualche burlone per eseguire varie operazioni, come lo scarico o l’attivazione della feature bidet che spruzza un getto d’acqua nelle parti basse. Nella migliore delle ipotesi, ciò incrementa solo il consumo e i costi ma, se la temperatura dell’acqua è superiore al normale, la vittima potrebbe subire un altro genere di danno.
Il problema risiede nel modo in cui l’applicazione Android comunica con la smart toilet. My Satis, infatti, utilizza un codice PIN unico “hard-coded” (0000) per instaurare una connessione Bluetooth con qualsiasi WC. È sufficiente quindi scaricare l’app per «causare disagio e sofferenza all’utente». Fortunatamente il range di azione dell’attacco è limitato a 10 metri, quindi lo “scherzo” può essere messo in pratica solo a breve distanza, magari da un amico o da un parente. Dopo aver contattato Lixil senza successo, Trustwave ha deciso di pubblicare l’advisory. Al momento non è noto se l’azienda rilascerà un fix. L’unico suggerimento è stare alla larga da Satis, se avete la sfortuna di incontrarlo in Giappone o negli Stati Uniti.