攻防最前线：2.6万个智能浴缸易受到远程攻击

我们都知道，薄弱的安全措施使得一些物联网设备很容易受到黑客攻击和各种网络攻击。根据总部位于英国白金汉郡的安全组织 Pen Test Partners 的研究，仅仅使用一款APP就可以入侵智能浴缸。原因很简单，这款APP没有任何认证过程。

据报道，目前约有2.6万个智能浴缸很容易受到黑客攻击，进而被远程控制。任何人都可以通过黑客数据库wigle[.]net所包含的GPS位置数据来搜索这些浴缸，进而实施黑客攻击。

根据Pen Test Partners研究人员的说法，黑客可以轻而易举地控制位于全球各地的智能浴缸，而他们所需要的只是一个互联网连接或附近智能浴缸的Wi-Fi接入点。

可用来实现这一切的软件被称为“Balboa Water App”，它是一款移动应用程序，可控制由美国Balboa Water Group公司生产的近3万个智能浴缸。这款APP通过Wi-Fi与智能浴缸连接在一起，而问题就在于它无法正确验证用户是否具有访问权限。

此外，这款APP还缺乏必要的安全措施，使得黑客可以在接收端识别智能浴缸的地理位置。在测试过程中，Pen Test Partners的研究人员就利用该APP认证过程中的漏洞对附近的智能浴缸进行了定位。

无论如何，利用这个漏洞，黑客可以轻而易举地进入智能浴缸系统，增加或降低设定的温度，进而导致浴缸无法正常使用。如果浴缸持续加热，则浪费大量的电能。此外，由于鼓风机只有在用户使用浴缸时才会被激活，因此黑客能够以此掌握用户何时进入浴缸，从而操控温度或水泵的开/关。

在Pen Test Partners公布了这一研究之后，Balboa Water Group公司在接受英国广播公司（ BBC ）采访时表示，该公司对这个漏洞感到“惊讶”。因为，这款APP实际上已经推出5年多的时间了，但到目前为止还没有接到过类似的用户投诉。

Balboa Water Group表示，该公司目前正在改进英国和其他地区1000多名浴缸用户的认证流程。并表示，在可能于2月底发布的更新版本推出之前，建议用户不要使用智能浴缸的远程控制功能。

值得注意的是，Pen Test Partners的研究人员还表示，用于控制这些智能浴缸的iDigi服务也被用于控制其他智能医疗设备，而谁也不能保证这些设备是绝对安全的。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。