開藍牙會洩露隐私嗎?來源:科技日報藍牙耳機、藍牙手環、車載藍牙……藍牙技術自問世以來,不僅解決了許多數據傳輸方面的難題,同時也開啟了無線生活的大門,得到各類智能設備的青睐但這項技術為我們生活帶來便利的同時,也帶來一些安全隐患,我來為大家科普一下關于開藍牙會洩露隐私嗎?以下内容希望對你有幫助!
來源:科技日報
藍牙耳機、藍牙手環、車載藍牙……藍牙技術自問世以來,不僅解決了許多數據傳輸方面的難題,同時也開啟了無線生活的大門,得到各類智能設備的青睐。但這項技術為我們生活帶來便利的同時,也帶來一些安全隐患。
據外媒報道,來自波士頓大學的研究人員于日前發現,在Fitbit智能手環等藍牙設備上,藍牙通信協議中存在的漏洞,其會導緻敏感的個人信息被竊取,允許第三方追蹤設備所在位置。這些數據很可能被“有心人”拿去使用,考慮到如今藍牙産品的普及率之高,專家建議用戶要在這方面提高警惕。
那麼,這個漏洞是什麼?目前藍牙設備還存在着哪些安全隐患?作為消費者以及技術廠商應該如何防範相關的技術風險?科技日報記者就此采訪了有關專家。
“商标”信息導緻設備被跟蹤
那麼,波士頓大學研究者們發現的漏洞究竟是什麼?
“這一漏洞與藍牙設備建立通信連接的方式有關。” 福建省網絡安全與密碼技術重點實驗室副主任、福建師範大學教授黃欣沂解釋道,藍牙設備與目标終端設備建立通信連接,需要一個“配對—連接—傳輸數據”的過程。在此過程中,藍牙狀态改變、搜索設備、綁定設備等信号,都是通過廣播接收到的,攻擊者可在無線網絡中“監聽”到藍牙設備的廣播信息。若能确定在一定範圍内僅有一名用戶,那攻擊者在該範圍内搜索到的藍牙信号、藍牙地址,就隻會是該用戶的,從而建立起藍牙設備和用戶之間的一一對應關系。
“一些藍牙設備内的藍牙地址具有唯一性,一旦這個地址與用戶相關聯,他的行動就可以被記錄,用戶隐私也就難以得到保障了。”黃欣沂說,那麼即使該用戶不在原來的地點使用藍牙設備,隻要其設備的藍牙地址被“盯”上,攻擊者仍能知道哪些藍牙數據是屬于該用戶的。
“在大部分設備上,藍牙地址都會被定期重新随機設置,以切斷設備和用戶之間的對應關系。”360安全研究院獨角獸安全團隊專家秦明闖說,據波士頓大學的研究人員公布的最新研究成果顯示,在藍牙通信标準中最新找到的漏洞正存在于藍牙的身份識别功能中。該漏洞不需要攻擊者主動發數據包,隻要“監聽”藍牙的廣播信道就能“跟蹤”某個設備。
為何藍牙設備地址被随機改變後,攻擊者仍可以找到原用戶?“一些廠商為了能‘認識’自家設備,在随機化的藍牙地址、廣播信息中,編入了一些與設備有關的信息,好比産品商标,導緻設備還是可以被追蹤到。”秦明闖說。
360安全研究院獨角獸安全團隊專家殷文旭舉例解釋說,如Windows 10系統廣播的藍牙數據包中,部分數據在每台設備上不同,且會出現周期性變化。與随機化的藍牙地址類似,其初衷也是防止被“有心人”跟蹤,但這部分數據變化的周期和藍牙地址變化的周期不同步,攻擊者可通過周密的分析和解讀,将二者關聯起來,實現對設備的持續追蹤。
根據波士頓大學研究者們的測試結果,他們發現的漏洞出現在Windows 10系統、iOS系統、macOS系統等軟件系統以及Apple Watch、Fitbit智能手環等擁有藍牙功能的設備上,因為這些設備都會定期發送含有自定義數據的信息,以便和其他設備進行互動。
可穿戴藍牙設備隐藏更多風險
據統計,目前全球有數十億台智能設備采用了藍牙技術。盡管Wi-Fi可替代藍牙滿足用戶的無線傳輸需求,但在無線耳機、揚聲器等設備上,通常會同時配備藍牙和Wi-Fi功能。
“無線揚聲器、車載信息娛樂系統,這類帶有藍牙功能的設備通常隻涉及點對點的單線傳輸,幾乎不涉及其他設備,因而比較少洩露隐私。例如,無線耳機通常隻連接用戶自己的手機或其他個人設備,不會連接他人的設備。”黃欣沂說,但與體育和健康有關的、備有藍牙功能的智能可穿戴設備,如智能手環、智能眼鏡、智能運動鞋等,則會通過手機軟件将用戶的心率、睡眠、體脂等個人信息上傳至服務器中,也就是非個人用戶設備中,這就會存在較大的隐私洩露風險。
據福建宜準信息科技有限公司技術總監蔡雲鵬介紹,因為可穿戴設備要啟動藍牙功能,就需要廣播地址和名稱,在廣播過程中,攻擊者就可通過“監聽”間接定位到具體終端佩戴者的位置,也就能獲取用戶位置信息。另外,攻擊者還可通過标準協議,獲取部分設備實時采集到的健康體征信息,這部分數據一般都未經過加密處理,很容易就被“有心人”利用。同時,手機端的來電或應用消息一般都會推送到帶有藍牙功能的可穿戴設備上,當該設備被監控後,用戶手機上的消息也可能随之被洩露。
黃欣沂舉例說道,目前市面上大多數智能手環都采用直接工作配對模式,即用戶主動發起連接卻看不到配對過程,且設備通常對藍牙指令的來源不經認證。在這種情況下,攻擊者隻要将一段含有特殊格式的數據傳至藍牙設備,就能對手環随意“發号施令”,如控制LED顔色變化、開啟實時步數監控功能等等。
我國尚未出台專門的安全标準
據測算,預計到2022年,支持藍牙功能的設備數量将從現在的42億提升至52億,相關的安全問題将會變得日益嚴峻。
不過,波士頓大學的研究者們也表示,Windows 10系統和iOS系統用戶隻需把藍牙關掉再重新打開一次便可新設一個藍牙地址。“在廠商們對此漏洞進行修複前,這個‘笨’辦法對于注重個人隐私安全的用戶來說,也許是最有效的了。”蔡雲鵬說。
2018年6月11日,全國信息安全标準化技術委員會秘書處就國家标準《信息安全技術藍牙安全指南》發出了征求意見稿,目前該文件處于報批階段。“當前我國尚未出台專門的安全标準,我建議應盡快完善與藍牙設備相關的安全标準,如對某些設備加入強制藍牙地址随機化功能,規定盜用、濫用藍牙數據将受到嚴厲懲處,讓攻擊者不敢利用技術漏洞做違法的事。”黃欣沂說。
在技術方面,蔡雲鵬建議企業和生産廠商應對藍牙系統在配對和連接環節加強保護措施:在配對時,增加驗證配對密鑰環節;在連接時,要使用相互身份驗證方式來保證連接安全。在保護雲端數據安全方面,廠商應盡量選擇高安全性的服務商,及時備份用戶信息、加密傳輸重要文件、使用加密雲服務、認真對待密碼,加強生産環境數據安全審計;硬件上可采用高安全性的藍牙系統芯片和模塊,盡量降低技術漏洞給用戶帶來的影響。
“消費者在選擇産品時,應盡量選擇正規大廠家生産的産品,不要一味追求低價,這樣在安全性方面會更有保障。此外,在使用産品時,用戶在不使用的情況下,應盡量關閉藍牙功能,還要及時更新系統軟件版本,堵住漏洞。”蔡雲鵬建議,用戶應盡量減少藍牙配對次數,并選擇在安全的地方進行配對,不要讓其他人看到配對口令。同時,用戶在使用手機時,盡量不去連接、配對不可信的設備,隻與熟悉的設備進行配對。
殷文旭表示,前不久Windows 10技術團隊已修複了波士頓大學研究者發現的漏洞,用戶隻要進行軟件更新就可完成修複。但對于手環這類更新比較慢的物聯網設備,漏洞或将存在一段時間,建議其他生産廠商及時跟進并修複該漏洞,發布系統更新,同時檢查其餘産品中也是否存在類似漏洞。(記者 謝開飛)
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!