您現在的位置:新聞首頁>熱點要聞

别亂開藍牙 當心你的隐私

2019-08-22 14:01誠信在線-誠信在線手機版下載編輯:誠信在線人氣:


  别亂開藍牙 當心你的隐私

  藍牙耳機、藍牙手環、車載藍牙……藍牙技術自問世以來,不僅解決了許多數據傳輸方面的難題,同時也開啟了無線生活的大門,得到各類智能設備的青睐。但這項技術為我們生活帶來便利的同時,也帶來一些安全隐患。

  據外媒報道,來自波士頓大學的研究人員于日前發現,在Fitbit智能手環等藍牙設備上,藍牙通信協議中存在的漏洞,其會導緻敏感的個人信息被竊取,允許第三方追蹤設備所在位置。這些數據很可能被“有心人”拿去使用,考慮到如今藍牙産品的普及率之高,專家建議用戶要在這方面提高警惕。

  那麼,這個漏洞是什麼?目前藍牙設備還存在着哪些安全隐患?作為消費者以及技術廠商應該如何防範相關的技術風險?科技日報記者就此采訪了有關專家。

 

  “商标”信息導緻設備被跟蹤

  那麼,波士頓大學研究者們發現的漏洞究竟是什麼?

  “這一漏洞與藍牙設備建立通信連接的方式有關。” 福建省網絡安全與密碼技術重點實驗室副主任、福建師範大學教授黃欣沂解釋道,藍牙設備與目标終端設備建立通信連接,需要一個“配對—連接—傳輸數據”的過程。在此過程中,藍牙狀态改變、搜索設備、綁定設備等信号,都是通過廣播接收到的,攻擊者可在無線網絡中“監聽”到藍牙設備的廣播信息。若能确定在一定範圍内僅有一名用戶,那攻擊者在該範圍内搜索到的藍牙信号、藍牙地址,就隻會是該用戶的,誠信在線,從而建立起藍牙設備和用戶之間的一一對應關系。

  “一些藍牙設備内的藍牙地址具有唯一性,一旦這個地址與用戶相關聯,他的行動就可以被記錄,用戶隐私也就難以得到保障了。”黃欣沂說,那麼即使該用戶不在原來的地點使用藍牙設備,隻要其設備的藍牙地址被“盯”上,攻擊者仍能知道哪些藍牙數據是屬于該用戶的。

  “在大部分設備上,藍牙地址都會被定期重新随機設置,以切斷設備和用戶之間的對應關系。”360安全研究院獨角獸安全團隊專家秦明闖說,據波士頓大學的研究人員公布的最新研究成果顯示,在藍牙通信标準中最新找到的漏洞正存在于藍牙的身份識别功能中。該漏洞不需要攻擊者主動發數據包,隻要“監聽”藍牙的廣播信道就能“跟蹤”某個設備。

  為何藍牙設備地址被随機改變後,攻擊者仍可以找到原用戶?“一些廠商為了能‘認識’自家設備,在随機化的藍牙地址、廣播信息中,編入了一些與設備有關的信息,好比産品商标,導緻設備還是可以被追蹤到。”秦明闖說。

  360安全研究院獨角獸安全團隊專家殷文旭舉例解釋說,如Windows 10系統廣播的藍牙數據包中,部分數據在每台設備上不同,且會出現周期性變化。與随機化的藍牙地址類似,其初衷也是防止被“有心人”跟蹤,但這部分數據變化的周期和藍牙地址變化的周期不同步,攻擊者可通過周密的分析和解讀,将二者關聯起來,實現對設備的持續追蹤。

  根據波士頓大學研究者們的測試結果,他們發現的漏洞出現在Windows 10系統、iOS系統、macOS系統等軟件系統以及Apple Watch、Fitbit智能手環等擁有藍牙功能的設備上,因為這些設備都會定期發送含有自定義數據的信息,以便和其他設備進行互動。

  可穿戴藍牙設備隐藏更多風險

  據統計,目前全球有數十億台智能設備采用了藍牙技術。盡管Wi-Fi可替代藍牙滿足用戶的無線傳輸需求,但在無線耳機、揚聲器等設備上,通常會同時配備藍牙和Wi-Fi功能。

  “無線揚聲器、車載信息娛樂系統,這類帶有藍牙功能的設備通常隻涉及點對點的單線傳輸,幾乎不涉及其他設備,因而比較少洩露隐私。例如,無線耳機通常隻連接用戶自己的手機或其他個人設備,不會連接他人的設備。”黃欣沂說,但與體育和健康有關的、備有藍牙功能的智能可穿戴設備,如智能手環、智能眼鏡、智能運動鞋等,則會通過手機軟件将用戶的心率、睡眠、體脂等個人信息上傳至服務器中,也就是非個人用戶設備中,這就會存在較大的隐私洩露風險。

  據福建宜準信息科技有限公司技術總監蔡雲鵬介紹,因為可穿戴設備要啟動藍牙功能,就需要廣播地址和名稱,在廣播過程中,攻擊者就可通過“監聽”間接定位到具體終端佩戴者的位置,也就能獲取用戶位置信息。另外,攻擊者還可通過标準協議,獲取部分設備實時采集到的健康體征信息,這部分數據一般都未經過加密處理,很容易就被“有心人”利用。同時,手機端的來電或應用消息一般都會推送到帶有藍牙功能的可穿戴設備上,當該設備被監控後,用戶手機上的消息也可能随之被洩露。

(來源:誠信在線手機版下載)

  • 凡本網注明"來源:誠信在線-誠信在線手機版下載的所有作品,版權均屬于中誠信在線-誠信在線手機版下載,轉載請必須注明中誠信在線-誠信在線手機版下載,http://cdda870710.cn。違反者本網将追究相關法律責任。
  • 本網轉載并注明自其它來源的作品,目的在于傳遞更多信息,并不代表本網贊同其觀點或證實其内容的真實性,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時,必須保留本網注明的作品來源,并自負版權等法律責任。
  • 如涉及作品内容、版權等問題,請在作品發表之日起一周内與本網聯系,否則視為放棄相關權利。



圖說新聞

更多>>
安踏擠進世界前三,361°關店500多家,李甯特步又

安踏擠進世界前三,361°關店500多家,李甯特步又