據(jù)滲透測(cè)試服務(wù)商Pen Test Partners 稱，其安全人員已成功攻破美發(fā)儀器制造商Glamoriser公司的直發(fā)棒。

來(lái)自英國(guó)的Glamoriser公司稱其研發(fā)了“世界上第一款藍(lán)牙直發(fā)棒”，用戶可以通過(guò)藍(lán)牙將直發(fā)棒連接到APP，快速設(shè)置溫度和模式，并在藍(lán)牙范圍內(nèi)開關(guān)直發(fā)棒。 

圖源：Glamoriser官網(wǎng)

然而，英國(guó)消防部門的一項(xiàng)在線調(diào)查顯示，直發(fā)棒在全英國(guó)造成多達(dá)65萬(wàn)起房屋火災(zāi)。甚至，三分之一的直發(fā)棒使用者有不同程度的燒傷，可見直發(fā)棒的不當(dāng)使用已成為嚴(yán)重的安全隱患。

這引起了安全公司Pen Test Partners 的注意：藍(lán)牙連接的直發(fā)棒是否更具危險(xiǎn)性，是否能被黑客入侵并控制？

答案是：可以！

實(shí)際上這款藍(lán)牙直發(fā)棒的APP非常簡(jiǎn)單：設(shè)置溫度和持續(xù)時(shí)間

圖源：Pen Test Partners

研究證明，攻擊者可在藍(lán)牙范圍內(nèi)發(fā)送惡意命令，遠(yuǎn)程控制直發(fā)棒，更改其溫度和持續(xù)時(shí)間。 如果有人在120°C下使用直發(fā)棒并設(shè)置持續(xù)時(shí)間5分鐘，攻擊者則可以將其更改為235°C（超過(guò)紙張燃點(diǎn)?。⒊掷m(xù)時(shí)間20分鐘。

圖源：Pen Test Partners

Pen Test Partners研究人員表示：“如果使用不當(dāng)，直發(fā)棒很容易引起皮膚灼傷和火災(zāi)。我們已經(jīng)證明可以篡改溫度，因此即使用戶安全使用，黑客也可能降低它們的安全性。”

“對(duì)于制造商來(lái)說(shuō)，加入藍(lán)牙配對(duì)/綁定功能來(lái)防止這種情況發(fā)生是很容易的。只要按下按鈕將直發(fā)棒置于配對(duì)模式就可以解決這個(gè)問(wèn)題。否則，則將自己置于火災(zāi)的隱患當(dāng)中?！?/p>

由于直發(fā)棒是藍(lán)牙連接，為了利用這一漏洞，惡意的攻擊者只能在一定范圍內(nèi)行動(dòng)，Tripwire安全研究高級(jí)主管Lamar Bailey 表示，“黑客的攻擊概率很低，除非你的兄弟姐妹或鄰居惡作劇或報(bào)復(fù)你。如果你有這個(gè)直發(fā)棒，在拉直頭發(fā)前，請(qǐng)善待任何距離你約10米范圍內(nèi)的人?！?/p>

為了降低這些藍(lán)牙設(shè)備受到威脅的風(fēng)險(xiǎn)，F(xiàn)orgeRock全球業(yè)務(wù)和企業(yè)發(fā)展高級(jí)副總裁Ben Goodman 表示，Glamoriser必須對(duì)安全建立和維護(hù)物聯(lián)網(wǎng)設(shè)備的整個(gè)生命周期負(fù)責(zé)。 

“物聯(lián)網(wǎng)項(xiàng)目往往優(yōu)先考慮連接性和數(shù)據(jù)消耗，最后才考慮安全性和隱私因素。物聯(lián)網(wǎng)會(huì)持續(xù)存在，連接的設(shè)備、服務(wù)和用戶的身份及其相關(guān)憑證必須在多個(gè)連接的生態(tài)系統(tǒng)中獲得信任和可用，以防止中間人以及其他類型的攻擊?！?/p>

參考資料：

《Hacked Hair Straightener Could Set a Fire》

《Burning down the house with IoT》

本文由安數(shù)網(wǎng)絡(luò)編譯。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明