刪除之前的藍芽裝置之後還可以重新收到啊
與大多數無線技術類似,藍芽通訊也容易遭受各種安全威脅。小型智慧終端可能存在的安全漏洞,藍芽耳機也可能有,只不過我們對其的重視程度不夠。
閆懷志
北京理工大學計算機網路對抗研究所所長
你每天戴的藍芽耳機可能被定位跟蹤?
近日有報道稱,部分藍芽耳機存在安全漏洞,可被不法分子快速植入具有定位功能的程式碼,從而實現遠端跟蹤,甚至監聽。這一話題迅速登上微博熱搜榜,不少網友驚呼:自己身邊居然潛伏著一個“隱身間諜”。那麼,“藍芽耳機成定位器、監聽器”是危言聳聽,還是確有其事?科技日報記者為此採訪了北京理工大學計算機網路對抗研究所所長閆懷志。
技術漏洞問題長期被忽視
“從技術原理上來看,藍芽耳機確實存在被監聽、定位跟蹤的可能。”閆懷志介紹,所謂藍芽耳機,通常是指採用了藍芽技術的無線耳機。藍芽技術自1994年發明以來,歷經近30年的發展,目前已演進到第五代——藍芽5時代。
“從藍芽通訊原理上來看,藍芽裝置通常包括一個藍芽模組以及支援連線的藍芽無線電和軟體。藍芽裝置在實現通訊功能前,需要進行配對。”閆懷志說,裝置之間的通訊在基於藍芽技術連線構建的短程臨時網路(微微網)中進行,該網路通常可支援2至8臺裝置實施連線。
藍芽耳機將藍芽技術應用在免持耳機上,使用者由此可以免除耳機有線連線帶來的不便和煩惱,從而實現更加輕鬆自在的通話。
長期以來,人們在享受藍芽耳機等藍芽裝置帶來的方便快捷的同時,往往忽視了藍芽裝置的安全性問題。“與大多數無線技術類似,藍芽通訊也容易遭受各種安全威脅。”閆懷志解釋,這是因為藍芽裝置中包含各種各樣的晶片組、作業系統和物理裝置配置,其中有大量的安全程式設計介面、預設設定等,麻雀雖小但五臟俱全,有些藍芽裝置內部的複雜程度甚至不亞於一臺小型智慧終端。
“小型智慧終端可能存在的安全漏洞,藍芽耳機也可能有,只不過我們對其的重視程度不夠。”閆懷志說。
他舉例說,在藍芽耳機首次配對時,需要使用者使用PIN碼(個人識別碼)驗證,PIN碼通常是由4到6位的數字組成。驗證時,藍芽耳機會自動使用自帶的加密演算法對該碼進行加密,然後傳輸給目標裝置進行身份認證。在此過程中,攻擊者可能會攔截藍芽通訊資料包,然後偽裝成目標裝置進行連線,或者採用暴力攻擊的方法來破解PIN碼,進而攻破藍芽耳機系統。
此外,攻擊者還可能在藍芽耳機處於等待配對狀態時,趁機掃描到該耳機並與之配對,隨即便可輕鬆植入惡意程式碼。
攻擊者透過藍芽耳機漏洞或利用通訊劫持等方式攻破藍芽耳機系統後,就能快速植入可實現監聽或定位功能的惡意程式碼,再透過近距離監聽服務的方式或利用相關裝置近距離獲取藍芽耳機的位置資訊,從而實現對藍芽耳機的監聽或定位跟蹤。如果攻擊者利用網路將該定位資訊傳播出去,甚至能實現任意遠距離的定位跟蹤。
多管齊下給耳機配上“安全盾”
倘若藍芽耳機變身為隱藏的“跟蹤器”“監聽器”,我們的個人資訊被不法分子掌握,機主的財產和人身安全都將受到威脅。
那麼,我們該如何給藍芽耳機豎起安全屏障呢?
“從根本上來說,應從技術層面來防範藍芽耳機攻擊,藍芽耳機和手機系統開發商需要進一步提升藍芽耳機通訊所涉及的相關硬體、軟體以及協議的安全保障水平,進而增加藍芽耳機被攻擊成功的難度。”閆懷志表示。
從管理上來說,我國已經於今年11月1日施行了《個人資訊保護法》,透過藍芽耳機等方式來竊取個人隱私資訊甚至是造成嚴重後果,涉嫌違反相關法律,要從法律法規層面來加大對攻擊者的威懾力度和違法懲戒力度。
閆懷志建議,在具體操作上,普通消費者要具有基本的安全意識,充分了解使用藍芽耳機可能帶來的安全影響,並在日常應用中注意以下事項:
儘可能在安全區域進行藍芽耳機配對,且不要頻繁地進行藍芽配對;僅在必要時啟用藍芽耳機,且儘量將藍芽耳機功率設定為最低可用、縮短連線裝置之間的距離,並最小化語音通話持續時間;藍芽耳機配對時,要始終驗證並確認正在配對的裝置,如有意外提示,不要輸入密碼;及時從預設的配對裝置列表中刪除丟失、被盜或未用裝置;除有配對需要外,將藍芽耳機預設設定為不可發現,並保持不可發現狀態。
【來源:科技日報】
宣告:轉載此文是出於傳遞更多資訊之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯絡,我們將及時更正、刪除,謝謝。 郵箱地址:newmedia@xxcb。cn