據滲透測試服務商Pen Test Partners 稱,其安全人員已成功攻破美發儀器制造商Glamoriser公司的直發棒。
來自英國的Glamoriser公司稱其研發了“世界上第一款藍牙直發棒”,用戶可以通過藍牙將直發棒連接到APP,快速設置溫度和模式,并在藍牙范圍內開關直發棒。
圖源:Glamoriser官網
然而,英國消防部門的一項在線調查顯示,直發棒在全英國造成多達65萬起房屋火災。甚至,三分之一的直發棒使用者有不同程度的燒傷,可見直發棒的不當使用已成為嚴重的安全隱患。
這引起了安全公司Pen Test Partners 的注意:藍牙連接的直發棒是否更具危險性,是否能被黑客入侵并控制?
答案是:可以!
實際上這款藍牙直發棒的APP非常簡單:設置溫度和持續時間
圖源:Pen Test Partners
研究證明,攻擊者可在藍牙范圍內發送惡意命令,遠程控制直發棒,更改其溫度和持續時間。 如果有人在120°C下使用直發棒并設置持續時間5分鐘,攻擊者則可以將其更改為235°C(超過紙張燃點!)、持續時間20分鐘。
圖源:Pen Test Partners
Pen Test Partners研究人員表示:“如果使用不當,直發棒很容易引起皮膚灼傷和火災。我們已經證明可以篡改溫度,因此即使用戶安全使用,黑客也可能降低它們的安全性。”
“對于制造商來說,加入藍牙配對/綁定功能來防止這種情況發生是很容易的。只要按下按鈕將直發棒置于配對模式就可以解決這個問題。否則,則將自己置于火災的隱患當中。”
由于直發棒是藍牙連接,為了利用這一漏洞,惡意的攻擊者只能在一定范圍內行動,Tripwire安全研究高級主管Lamar Bailey 表示,“黑客的攻擊概率很低,除非你的兄弟姐妹或鄰居惡作劇或報復你。如果你有這個直發棒,在拉直頭發前,請善待任何距離你約10米范圍內的人。”
為了降低這些藍牙設備受到威脅的風險,ForgeRock全球業務和企業發展高級副總裁Ben Goodman 表示,Glamoriser必須對安全建立和維護物聯網設備的整個生命周期負責。
“物聯網項目往往優先考慮連接性和數據消耗,最后才考慮安全性和隱私因素。物聯網會持續存在,連接的設備、服務和用戶的身份及其相關憑證必須在多個連接的生態系統中獲得信任和可用,以防止中間人以及其他類型的攻擊。”
參考資料:
《Hacked Hair Straightener Could Set a Fire》
《Burning down the house with IoT》
本文由安數網絡編譯。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照