我們都知道,薄弱的安全措施使得一些物聯(lián)網(wǎng)設(shè)備很容易受到黑客攻擊和各種網(wǎng)絡(luò)攻擊。根據(jù)總部位于英國(guó)白金漢郡的安全組織Pen Test Partners的研究,僅僅使用一款A(yù)PP就可以入侵智能浴缸。原因很簡(jiǎn)單,這款A(yù)PP沒有任何認(rèn)證過程。
據(jù)報(bào)道,目前約有2.6萬個(gè)智能浴缸很容易受到黑客攻擊,進(jìn)而被遠(yuǎn)程控制。任何人都可以通過黑客數(shù)據(jù)庫(kù)wigle[.]net所包含的GPS位置數(shù)據(jù)來搜索這些浴缸,進(jìn)而實(shí)施黑客攻擊。
根據(jù)Pen Test Partners研究人員的說法,黑客可以輕而易舉地控制位于全球各地的智能浴缸,而他們所需要的只是一個(gè)互聯(lián)網(wǎng)連接或附近智能浴缸的Wi-Fi接入點(diǎn)。
可用來實(shí)現(xiàn)這一切的軟件被稱為“Balboa Water App”,它是一款移動(dòng)應(yīng)用程序,可控制由美國(guó)Balboa Water Group公司生產(chǎn)的近3萬個(gè)智能浴缸。這款A(yù)PP通過Wi-Fi與智能浴缸連接在一起,而問題就在于它無法正確驗(yàn)證用戶是否具有訪問權(quán)限。
此外,這款A(yù)PP還缺乏必要的安全措施,使得黑客可以在接收端識(shí)別智能浴缸的地理位置。在測(cè)試過程中,Pen Test Partners的研究人員就利用該APP認(rèn)證過程中的漏洞對(duì)附近的智能浴缸進(jìn)行了定位。
無論如何,利用這個(gè)漏洞,黑客可以輕而易舉地進(jìn)入智能浴缸系統(tǒng),增加或降低設(shè)定的溫度,進(jìn)而導(dǎo)致浴缸無法正常使用。如果浴缸持續(xù)加熱,則浪費(fèi)大量的電能。此外,由于鼓風(fēng)機(jī)只有在用戶使用浴缸時(shí)才會(huì)被激活,因此黑客能夠以此掌握用戶何時(shí)進(jìn)入浴缸,從而操控溫度或水泵的開/關(guān)。
在Pen Test Partners公布了這一研究之后,Balboa Water Group公司在接受英國(guó)廣播公司(BBC)采訪時(shí)表示,該公司對(duì)這個(gè)漏洞感到“驚訝”。因?yàn)?,這款A(yù)PP實(shí)際上已經(jīng)推出5年多的時(shí)間了,但到目前為止還沒有接到過類似的用戶投訴。
Balboa Water Group表示,該公司目前正在改進(jìn)英國(guó)和其他地區(qū)1000多名浴缸用戶的認(rèn)證流程。并表示,在可能于2月底發(fā)布的更新版本推出之前,建議用戶不要使用智能浴缸的遠(yuǎn)程控制功能。
值得注意的是,Pen Test Partners的研究人員還表示,用于控制這些智能浴缸的iDigi服務(wù)也被用于控制其他智能醫(yī)療設(shè)備,而誰也不能保證這些設(shè)備是絕對(duì)安全的。