據(jù)滲透測試服務(wù)商Pen Test Partners 稱，其安全人員已成功攻破美發(fā)儀器制造商Glamoriser公司的直發(fā)棒。

來自英國的Glamoriser公司稱其研發(fā)了“世界上第一款藍(lán)牙直發(fā)棒”，用戶可以通過藍(lán)牙將直發(fā)棒連接到APP，快速設(shè)置溫度和模式，并在藍(lán)牙范圍內(nèi)開關(guān)直發(fā)棒。 

圖源：Glamoriser官網(wǎng)

然而，英國消防部門的一項在線調(diào)查顯示，直發(fā)棒在全英國造成多達(dá)65萬起房屋火災(zāi)。甚至，三分之一的直發(fā)棒使用者有不同程度的燒傷，可見直發(fā)棒的不當(dāng)使用已成為嚴(yán)重的安全隱患。

這引起了安全公司Pen Test Partners 的注意：藍(lán)牙連接的直發(fā)棒是否更具危險性，是否能被黑客入侵并控制？

答案是：可以！

實際上這款藍(lán)牙直發(fā)棒的APP非常簡單：設(shè)置溫度和持續(xù)時間

圖源：Pen Test Partners

研究證明，攻擊者可在藍(lán)牙范圍內(nèi)發(fā)送惡意命令，遠(yuǎn)程控制直發(fā)棒，更改其溫度和持續(xù)時間。 如果有人在120°C下使用直發(fā)棒并設(shè)置持續(xù)時間5分鐘，攻擊者則可以將其更改為235°C（超過紙張燃點！）、持續(xù)時間20分鐘。

圖源：Pen Test Partners

Pen Test Partners研究人員表示：“如果使用不當(dāng)，直發(fā)棒很容易引起皮膚灼傷和火災(zāi)。我們已經(jīng)證明可以篡改溫度，因此即使用戶安全使用，黑客也可能降低它們的安全性。”

“對于制造商來說，加入藍(lán)牙配對/綁定功能來防止這種情況發(fā)生是很容易的。只要按下按鈕將直發(fā)棒置于配對模式就可以解決這個問題。否則，則將自己置于火災(zāi)的隱患當(dāng)中。”

由于直發(fā)棒是藍(lán)牙連接，為了利用這一漏洞，惡意的攻擊者只能在一定范圍內(nèi)行動，Tripwire安全研究高級主管Lamar Bailey 表示，“黑客的攻擊概率很低，除非你的兄弟姐妹或鄰居惡作劇或報復(fù)你。如果你有這個直發(fā)棒，在拉直頭發(fā)前，請善待任何距離你約10米范圍內(nèi)的人。”

為了降低這些藍(lán)牙設(shè)備受到威脅的風(fēng)險，F(xiàn)orgeRock全球業(yè)務(wù)和企業(yè)發(fā)展高級副總裁Ben Goodman 表示，Glamoriser必須對安全建立和維護(hù)物聯(lián)網(wǎng)設(shè)備的整個生命周期負(fù)責(zé)。 

“物聯(lián)網(wǎng)項目往往優(yōu)先考慮連接性和數(shù)據(jù)消耗，最后才考慮安全性和隱私因素。物聯(lián)網(wǎng)會持續(xù)存在，連接的設(shè)備、服務(wù)和用戶的身份及其相關(guān)憑證必須在多個連接的生態(tài)系統(tǒng)中獲得信任和可用，以防止中間人以及其他類型的攻擊。”

參考資料：

《Hacked Hair Straightener Could Set a Fire》

《Burning down the house with IoT》

本文由安數(shù)網(wǎng)絡(luò)編譯。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明