上次我們分析了資料監聽作為沒有使用過Ubertooth的小白,解析如何進行藍芽資料監聽
接下來我們講講“世界上第一款藍芽直髮棒”被駭客攻破事件:
據滲透測試服務商Pen Test Partners 稱,其安全人員已成功攻破美髮儀器製造商Glamoriser公司的直髮棒。
來自英國的Glamoriser公司稱其研發了“世界上第一款藍芽直髮棒”,使用者可以透過藍芽將直髮棒連線到APP,快速設定溫度和模式,並在藍芽範圍內開關直髮棒。
圖源:Glamoriser官網
然而,英國消防部門的一項線上調查顯示,直髮棒在全英國造成多達65萬起房屋火災。甚至,三分之一的直髮棒使用者有不同程度的燒傷,可見直髮棒的不當使用已成為嚴重的安全隱患。
這引起了安全公司Pen Test Partners 請注意:藍芽連線的直髮棒是否更具危險性,是否能被駭客入侵併控制?
答案是:可以!
實際上這款藍芽直髮棒的APP非常簡單:設定溫度和持續時間
圖源:Pen Test Partners
研究證明,攻擊者可在藍芽範圍內傳送惡意命令,遠端控制直髮棒,更改其溫度和持續時間。 如果有人在120°C下使用直髮棒並設定持續時間5分鐘,攻擊者則可以將其更改為235°C(超過紙張燃點!)、持續時間20分鐘。
圖源:Pen Test Partners
Pen Test Partners研究人員表示:“如果使用不當,直髮棒很容易引起面板灼傷和火災。我們已經證明可以篡改溫度,因此即使使用者安全使用,駭客也可能降低他們的安全性。”
“對於製造商來說,加入藍芽配對/繫結功能來防止這種情況發生是很容易的。只要按下按鈕將直髮棒置於配對模式就可以解決這個問題。否則,則將自己置於火災的隱患當中。”
由於直髮棒是藍芽連線,為了利用這一漏洞,惡意的攻擊者只能在一定範圍內行動,Tripwire安全研究高階主管Lamar Bailey 表示,“駭客的攻擊機率很低,除非你的兄弟姐妹或鄰居惡作劇或報復你。如果你有這個直髮棒,在拉直頭髮前,請善待任何距離你約10米範圍內的人。”
為了降低這些藍芽裝置受到威脅的風險,ForgeRock全球業務和企業發展高階副總裁BenGoodman 表示,Glamoriser必須對安全建立和維護物聯網裝置的整個生命週期負責。
“物聯網專案往往優先考慮連線性和資料消耗,最後才考慮安全性和隱私因素。物聯網會持續存在,連線的裝置、服務和使用者的身份及其相關憑證必須在多個連線的生態系統中獲得信任和可用,以防止中間人以及其他型別的攻擊。”
結語
從月薪3000到年薪35W,一個網路安全行業的職場逆襲故事。想入行,可以私信我,發“入行”兩個字拿學習資料。#小白入行網路安全#
