您的位置 首页 >> IT

别luàn开蓝牙 当心你的隐私

来源:uu直播快3平台-UU快3直播官方汇 时间:2019年08月24日

  别luàn开蓝牙 当心你的隐私

  蓝牙耳机、蓝牙手环、车载蓝牙……蓝牙技术自问世以来,不仅解决了许多数据传输方面的难题,同时也开启了无线uu直播快3平台-UU快3直播官方的大门,得到各类智能设备的青睐。但这项技术为我们uu直播快3平台-UU快3直播官方带来便利的同时,也带来一些安全隐患。

  据外媒报道,来自波士顿大学的研究人员于日前发现,在Fitbit智能手环等蓝牙设备上,蓝牙通信协议中存在的lòu洞,其会导致敏感的个人信息被窃取,允许第三方追踪设备所在位置。这些数据很可能被“有心人”拿去使用,考虑到如今蓝牙产品的普及率之高,专家建议用户要在这方面提高jǐng惕。

  那么,这个lòu洞是什么?目前蓝牙设备还存在着哪些安全隐患?作为消费者以及技术厂商应该如何防范相关的技术风险?科技日报记者就此采访了有关专家。

  “商标”信息导致设备被跟踪

  那么,波士顿大学研究者们发现的lòu洞究竟是什么?

  “这一lòu洞与蓝牙设备建立通信连接的方式有关。” 福建省网络安全与密码技术重点实验室副主任、福建师范大学教授黄欣沂解释道,蓝牙设备与目标终端设备建立通信连接,需要一个“配对—连接—传输数据”的过程。在此过程中,蓝牙状态改变、搜索设备、绑定设备等信号,都是通过广播接收到的,攻击者可在无线网络中“监听”到蓝牙设备的广播信息。若能确定在一定范围内仅有一名用户,那攻击者在该范围内搜索到的蓝牙信号、蓝牙地址,就只会是该用户的,从而建立起蓝牙设备和用户之间的一一对应关系。

  “一些蓝牙设备内的蓝牙地址具有唯一性,一旦这个地址与用户相关联,他的行动就可以被记录,用户隐私也就难以得到保障了。”黄欣沂说,那么即使该用户不在原来的地点使用蓝牙设备,只要其设备的蓝牙地址被“盯”上,攻击者仍能知道哪些蓝牙数据是属于该用户的。

  “在大部分设备上,蓝牙地址都会被定期重新随机设置,以切断设备和用户之间的对应关系。”360安全研究院独角兽安全tuán队专家秦明闯说,据波士顿大学的研究人员公布的zuì新研究成果显示,在蓝牙通信标准中zuì新找到的lòu洞正存在于蓝牙的身份识别功能中。该lòu洞不需要攻击者主动发数据包,只要“监听”蓝牙的广播信道就能“跟踪”某个设备。

  为何蓝牙设备地址被随机改变后,攻击者仍可以找到原用户?“一些厂商为了能‘认识’自家设备,在随机化的蓝牙地址、广播信息中,编入了一些与设备有关的信息,好比产品商标,导致设备还是可以被追踪到。”秦明闯说。

  360安全研究院独角兽安全tuán队专家殷文旭举例解释说,如Windows 10系统广播的蓝牙数据包中,部分数据在每台设备上不同,且会出现周期性变化。与随机化的蓝牙地址类似,其初衷也是防止被“有心人”跟踪,但这部分数据变化的周期和蓝牙地址变化的周期不同步,攻击者可通过周密的分析和解读,将二者关联起来,实现对设备的持续追踪。

  根据波士顿大学研究者们的测试结果,他们发现的lòu洞出现在Windows 10系统、iOS系统、macOS系统等软件系统以及Apple Watch、Fitbit智能手环等拥有蓝牙功能的设备上,因为这些设备都会定期发送含有自定义数据的信息,以便和其他设备进行互动。

  可穿戴蓝牙设备隐藏更多风险

  据统计,目前全球有数十亿台智能设备采用了蓝牙技术。尽管Wi-Fi可替代蓝牙满足用户的无线传输需求,但在无线耳机、扬声器等设备上,通常会同时配备蓝牙和Wi-Fi功能。

  “无线扬声器、车载信息娱乐系统,这类带有蓝牙功能的设备通常只涉及点对点的单线传输,几乎不涉及其他设备,因而比较少泄lù隐私。例如,无线耳机通常只连接用户自己的手机或其他个人设备,不会连接他人的设备。”黄欣沂说,但与体育和健康有关的、备有蓝牙功能的智能可穿戴设备,如智能手环、智能眼镜、智能运动鞋等,则会通过手机软件将用户的心率、睡眠、体脂等个人信息上传至服务器中,也就是非个人用户设备中,这就会存在较大的隐私泄lù风险。

  据福建宜准信息科技有限公司技术总监蔡云鹏介绍,因为可穿戴设备要启动蓝牙功能,就需要广播地址和名称,在广播过程中,攻击者就可通过“监听”间接定位到具体终端佩戴者的位置,也就能获取用户位置信息。另外,攻击者还可通过标准协议,获取部分设备实时采集到的健康体征信息,这部分数据一般都未经过加密处理,很容易就被“有心人”利用。同时,手机端的来电或应用消息一般都会推送到带有蓝牙功能的可穿戴设备上,当该设备被监控后,用户手机上的消息也可能随之被泄lù。

首页12尾页
友情链接+