當(dāng)前位置:首頁(yè) > 通信技術(shù) > 通信技術(shù)
[導(dǎo)讀]據(jù)測(cè)算,預(yù)計(jì)到2022年,支持藍(lán)牙功能的設(shè)備數(shù)量將從現(xiàn)在的42億提升至52億,相關(guān)的安全問(wèn)題將會(huì)變得日益嚴(yán)峻。來(lái)自波士頓大學(xué)的研究人員于日前發(fā)現(xiàn),在Fitbit智能手環(huán)等藍(lán)牙設(shè)備上,藍(lán)牙通信協(xié)議中存在的漏洞,其會(huì)導(dǎo)致敏感的個(gè)人信息被竊取,允許第三方追蹤設(shè)備所在位置。

據(jù)測(cè)算,預(yù)計(jì)到2022年,支持藍(lán)牙功能的設(shè)備數(shù)量將從現(xiàn)在的42億提升至52億,相關(guān)的安全問(wèn)題將會(huì)變得日益嚴(yán)峻。來(lái)自波士頓大學(xué)的研究人員于日前發(fā)現(xiàn),在Fitbit智能手環(huán)等藍(lán)牙設(shè)備上,藍(lán)牙通信協(xié)議中存在的漏洞,其會(huì)導(dǎo)致敏感的個(gè)人信息被竊取,允許第三方追蹤設(shè)備所在位置。

這些數(shù)據(jù)很可能被“有心人”拿去使用,考慮到如今藍(lán)牙產(chǎn)品的普及率之高,專(zhuān)家建議用戶要在這方面提高警惕。

藍(lán)牙耳機(jī)、藍(lán)牙手環(huán)、車(chē)載藍(lán)牙……藍(lán)牙技術(shù)自問(wèn)世以來(lái),不僅解決了許多數(shù)據(jù)傳輸方面的難題,同時(shí)也開(kāi)啟了無(wú)線生活的大門(mén),得到各類(lèi)智能設(shè)備的青睞。但這項(xiàng)技術(shù)為我們生活帶來(lái)便利的同時(shí),也帶來(lái)一些安全隱患。

那么,這個(gè)漏洞是什么?目前藍(lán)牙設(shè)備還存在著哪些安全隱患?作為消費(fèi)者以及技術(shù)廠商應(yīng)該如何防范相關(guān)的技術(shù)風(fēng)險(xiǎn)?科技日?qǐng)?bào)記者就此采訪了有關(guān)專(zhuān)家。

“商標(biāo)”信息導(dǎo)致設(shè)備被跟蹤

那么,波士頓大學(xué)研究者們發(fā)現(xiàn)的漏洞究竟是什么?

“這一漏洞與藍(lán)牙設(shè)備建立通信連接的方式有關(guān)。” 福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室副主任、福建師范大學(xué)教授黃欣沂解釋道,藍(lán)牙設(shè)備與目標(biāo)終端設(shè)備建立通信連接,需要一個(gè)“配對(duì)—連接—傳輸數(shù)據(jù)”的過(guò)程。在此過(guò)程中,藍(lán)牙狀態(tài)改變、搜索設(shè)備、綁定設(shè)備等信號(hào),都是通過(guò)廣播接收到的,攻擊者可在無(wú)線網(wǎng)絡(luò)中“監(jiān)聽(tīng)”到藍(lán)牙設(shè)備的廣播信息。若能確定在一定范圍內(nèi)僅有一名用戶,那攻擊者在該范圍內(nèi)搜索到的藍(lán)牙信號(hào)、藍(lán)牙地址,就只會(huì)是該用戶的,從而建立起藍(lán)牙設(shè)備和用戶之間的一一對(duì)應(yīng)關(guān)系。

“一些藍(lán)牙設(shè)備內(nèi)的藍(lán)牙地址具有唯一性,一旦這個(gè)地址與用戶相關(guān)聯(lián),他的行動(dòng)就可以被記錄,用戶隱私也就難以得到保障了。”黃欣沂說(shuō),那么即使該用戶不在原來(lái)的地點(diǎn)使用藍(lán)牙設(shè)備,只要其設(shè)備的藍(lán)牙地址被“盯”上,攻擊者仍能知道哪些藍(lán)牙數(shù)據(jù)是屬于該用戶的。

“在大部分設(shè)備上,藍(lán)牙地址都會(huì)被定期重新隨機(jī)設(shè)置,以切斷設(shè)備和用戶之間的對(duì)應(yīng)關(guān)系。”360安全研究院獨(dú)角獸安全團(tuán)隊(duì)專(zhuān)家秦明闖說(shuō),據(jù)波士頓大學(xué)的研究人員公布的最新研究成果顯示,在藍(lán)牙通信標(biāo)準(zhǔn)中最新找到的漏洞正存在于藍(lán)牙的身份識(shí)別功能中。該漏洞不需要攻擊者主動(dòng)發(fā)數(shù)據(jù)包,只要“監(jiān)聽(tīng)”藍(lán)牙的廣播信道就能“跟蹤”某個(gè)設(shè)備。

為何藍(lán)牙設(shè)備地址被隨機(jī)改變后,攻擊者仍可以找到原用戶?“一些廠商為了能‘認(rèn)識(shí)’自家設(shè)備,在隨機(jī)化的藍(lán)牙地址、廣播信息中,編入了一些與設(shè)備有關(guān)的信息,好比產(chǎn)品商標(biāo),導(dǎo)致設(shè)備還是可以被追蹤到。”秦明闖說(shuō)。

360安全研究院獨(dú)角獸安全團(tuán)隊(duì)專(zhuān)家殷文旭舉例解釋說(shuō),如Windows 10系統(tǒng)廣播的藍(lán)牙數(shù)據(jù)包中,部分?jǐn)?shù)據(jù)在每臺(tái)設(shè)備上不同,且會(huì)出現(xiàn)周期性變化。與隨機(jī)化的藍(lán)牙地址類(lèi)似,其初衷也是防止被“有心人”跟蹤,但這部分?jǐn)?shù)據(jù)變化的周期和藍(lán)牙地址變化的周期不同步,攻擊者可通過(guò)周密的分析和解讀,將二者關(guān)聯(lián)起來(lái),實(shí)現(xiàn)對(duì)設(shè)備的持續(xù)追蹤。

根據(jù)波士頓大學(xué)研究者們的測(cè)試結(jié)果,他們發(fā)現(xiàn)的漏洞出現(xiàn)在Windows 10系統(tǒng)、iOS系統(tǒng)、macOS系統(tǒng)等軟件系統(tǒng)以及Apple Watch、Fitbit智能手環(huán)等擁有藍(lán)牙功能的設(shè)備上,因?yàn)檫@些設(shè)備都會(huì)定期發(fā)送含有自定義數(shù)據(jù)的信息,以便和其他設(shè)備進(jìn)行互動(dòng)。

可穿戴藍(lán)牙設(shè)備隱藏更多風(fēng)險(xiǎn)

據(jù)統(tǒng)計(jì),目前全球有數(shù)十億臺(tái)智能設(shè)備采用了藍(lán)牙技術(shù)。盡管Wi-Fi可替代藍(lán)牙滿足用戶的無(wú)線傳輸需求,但在無(wú)線耳機(jī)、揚(yáng)聲器等設(shè)備上,通常會(huì)同時(shí)配備藍(lán)牙和Wi-Fi功能。

“無(wú)線揚(yáng)聲器、車(chē)載信息娛樂(lè)系統(tǒng),這類(lèi)帶有藍(lán)牙功能的設(shè)備通常只涉及點(diǎn)對(duì)點(diǎn)的單線傳輸,幾乎不涉及其他設(shè)備,因而比較少泄露隱私。例如,無(wú)線耳機(jī)通常只連接用戶自己的手機(jī)或其他個(gè)人設(shè)備,不會(huì)連接他人的設(shè)備。”黃欣沂說(shuō),但與體育和健康有關(guān)的、備有藍(lán)牙功能的智能可穿戴設(shè)備,如智能手環(huán)、智能眼鏡、智能運(yùn)動(dòng)鞋等,則會(huì)通過(guò)手機(jī)軟件將用戶的心率、睡眠、體脂等個(gè)人信息上傳至服務(wù)器中,也就是非個(gè)人用戶設(shè)備中,這就會(huì)存在較大的隱私泄露風(fēng)險(xiǎn)。

據(jù)福建宜準(zhǔn)信息科技有限公司技術(shù)總監(jiān)蔡云鵬介紹,因?yàn)榭纱┐髟O(shè)備要啟動(dòng)藍(lán)牙功能,就需要廣播地址和名稱(chēng),在廣播過(guò)程中,攻擊者就可通過(guò)“監(jiān)聽(tīng)”間接定位到具體終端佩戴者的位置,也就能獲取用戶位置信息。另外,攻擊者還可通過(guò)標(biāo)準(zhǔn)協(xié)議,獲取部分設(shè)備實(shí)時(shí)采集到的健康體征信息,這部分?jǐn)?shù)據(jù)一般都未經(jīng)過(guò)加密處理,很容易就被“有心人”利用。同時(shí),手機(jī)端的來(lái)電或應(yīng)用消息一般都會(huì)推送到帶有藍(lán)牙功能的可穿戴設(shè)備上,當(dāng)該設(shè)備被監(jiān)控后,用戶手機(jī)上的消息也可能隨之被泄露。

黃欣沂舉例說(shuō)道,目前市面上大多數(shù)智能手環(huán)都采用直接工作配對(duì)模式,即用戶主動(dòng)發(fā)起連接卻看不到配對(duì)過(guò)程,且設(shè)備通常對(duì)藍(lán)牙指令的來(lái)源不經(jīng)認(rèn)證。在這種情況下,攻擊者只要將一段含有特殊格式的數(shù)據(jù)傳至藍(lán)牙設(shè)備,就能對(duì)手環(huán)隨意“發(fā)號(hào)施令”,如控制LED顏色變化、開(kāi)啟實(shí)時(shí)步數(shù)監(jiān)控功能等等。

我國(guó)尚未出臺(tái)專(zhuān)門(mén)的安全標(biāo)準(zhǔn)

不過(guò),波士頓大學(xué)的研究者們也表示,Windows 10系統(tǒng)和iOS系統(tǒng)用戶只需把藍(lán)牙關(guān)掉再重新打開(kāi)一次便可新設(shè)一個(gè)藍(lán)牙地址。“在廠商們對(duì)此漏洞進(jìn)行修復(fù)前,這個(gè)‘笨’辦法對(duì)于注重個(gè)人隱私安全的用戶來(lái)說(shuō),也許是最有效的了。”蔡云鵬說(shuō)。

2018年6月11日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處就國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)藍(lán)牙安全指南》發(fā)出了征求意見(jiàn)稿,目前該文件處于報(bào)批階段。“當(dāng)前我國(guó)尚未出臺(tái)專(zhuān)門(mén)的安全標(biāo)準(zhǔn),我建議應(yīng)盡快完善與藍(lán)牙設(shè)備相關(guān)的安全標(biāo)準(zhǔn),如對(duì)某些設(shè)備加入強(qiáng)制藍(lán)牙地址隨機(jī)化功能,規(guī)定盜用、濫用藍(lán)牙數(shù)據(jù)將受到嚴(yán)厲懲處,讓攻擊者不敢利用技術(shù)漏洞做違法的事。”黃欣沂說(shuō)。

在技術(shù)方面,蔡云鵬建議企業(yè)和生產(chǎn)廠商應(yīng)對(duì)藍(lán)牙系統(tǒng)在配對(duì)和連接環(huán)節(jié)加強(qiáng)保護(hù)措施:在配對(duì)時(shí),增加驗(yàn)證配對(duì)密鑰環(huán)節(jié);在連接時(shí),要使用相互身份驗(yàn)證方式來(lái)保證連接安全。在保護(hù)云端數(shù)據(jù)安全方面,廠商應(yīng)盡量選擇高安全性的服務(wù)商,及時(shí)備份用戶信息、加密傳輸重要文件、使用加密云服務(wù)、認(rèn)真對(duì)待密碼,加強(qiáng)生產(chǎn)環(huán)境數(shù)據(jù)安全審計(jì);硬件上可采用高安全性的藍(lán)牙系統(tǒng)芯片和模塊,盡量降低技術(shù)漏洞給用戶帶來(lái)的影響。

殷文旭表示,前不久Windows 10技術(shù)團(tuán)隊(duì)已修復(fù)了波士頓大學(xué)研究者發(fā)現(xiàn)的漏洞,用戶只要進(jìn)行軟件更新就可完成修復(fù)。但對(duì)于手環(huán)這類(lèi)更新比較慢的物聯(lián)網(wǎng)設(shè)備,漏洞或?qū)⒋嬖谝欢螘r(shí)間,建議其他生產(chǎn)廠商及時(shí)跟進(jìn)并修復(fù)該漏洞,發(fā)布系統(tǒng)更新,同時(shí)檢查其余產(chǎn)品中也是否存在類(lèi)似漏洞。

“消費(fèi)者在選擇產(chǎn)品時(shí),應(yīng)盡量選擇正規(guī)大廠家生產(chǎn)的產(chǎn)品,不要一味追求低價(jià),這樣在安全性方面會(huì)更有保障。此外,在使用產(chǎn)品時(shí),用戶在不使用的情況下,應(yīng)盡量關(guān)閉藍(lán)牙功能,還要及時(shí)更新系統(tǒng)軟件版本,堵住漏洞。”

蔡云鵬建議,用戶應(yīng)盡量減少藍(lán)牙配對(duì)次數(shù),并選擇在安全的地方進(jìn)行配對(duì),不要讓其他人看到配對(duì)口令。同時(shí),用戶在使用手機(jī)時(shí),盡量不去連接、配對(duì)不可信的設(shè)備,只與熟悉的設(shè)備進(jìn)行配對(duì)。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車(chē)的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車(chē)技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車(chē)工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車(chē)。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車(chē) 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱(chēng),數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱(chēng)"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉