'Verdens første bluetooth hår straighteners' kan nemt hacket – TechCrunch


Her er en ting, der aldrig burde have været: Bluetooth-tilsluttede glattejerner.

Glamouriser, et U.K. firma, der regner sig som maker af "verdens første Bluetooth-glattejerner", giver brugerne mulighed for at forbinde enheden til en app, som gør det muligt for ejeren at indstille visse varme- og stilindstillinger. App'en kan også bruges til fjernbetjening af glattejern inden for Bluetooth-rækkevidde.

Stort problem dog. Disse glattejern kan blive hacket.

Sikkerhedsforskere hos Pen Test Partners købte et par og testede dem ud. De fandt ud af, at det var nemt at sende ondsindede Bluetooth-kommandoer inden for rækkevidde for fjernbetjening af en ejer straighteners.

Forskerne viste, at de kunne sende en af ​​flere kommandoer over Bluetooth, som f.eks. Den øvre og nedre temperaturgrænse på enheden – henholdsvis 122 ° F og 455 ° F – samt nedlukningstiden. Da straighteners ikke har nogen autentificering, kan en angriber på afstand ændre og tilsidesætte temperaturen på glattejernene og hvor længe de forbliver på – op til en grænse på 20 minutter.

"Da der ikke er parring eller binding etableret over [Bluetooth] når du forbinder en telefon, kan enhver i rækkevidde med appen tage kontrol over straightenersne ", sagde Stuart Kennedy i hans blogindlæg, delvist først med TechCrunch.

Der er en advarsel, sagde Kennedy. Rettegangen tillader kun en samtidig forbindelse. Hvis ejeren ikke har tilsluttet telefonen eller går uden for rækkevidde, kan kun en angriber målrette enheden.

Her på TechCrunch er vi alle for at sætte ting i brand "for journalistik", men i dette tilfælde taler talene for sig selv. Hvis man ifølge forskernes resultater kunne overskride glattejernene til maksimal temperatur på 455 ° F ved timeout af 20 minutter, så er det en god tilstand for brand – eller i det mindste brænde skader.

Det anslås, at så mange som 650.000 husbrande i U.K. er forårsaget af hårglatere og krøllejern tilbage på. I nogle tilfælde kan det tage mere end en halv time for disse opvarmede enheder at køle ned til sikre niveauer. U.K. brand- og redningstjenester har opfordret ejerne til fysisk at trække stikket på deres enheder for at forhindre brande og skader.

Glamouriser reagerede ikke på en anmodning om kommentarer før offentliggørelsen. App'en er ikke opdateret siden juni 2018, og det foreslås, at en løsning endnu ikke er sat på plads.