您的位置:首页 > 国际新闻

别乱开蓝牙 当心你的隐私

时间:2019-08-29


科技日报

不要乱用蓝牙,小心你的隐私

本报记者谢凯飞

蓝牙耳机,蓝牙手环,车载蓝牙.自成立以来,蓝牙技术不仅解决了许多数据传输问题,而且还打开了无线生活的大门,赢得了各类智能设备的青睐。但这项技术为我们的生活带来了便利,但也带来了一些安全风险。

据国外媒体报道,波士顿大学的研究人员发现,在Fitbit智能手环等蓝牙设备中,蓝牙通信协议存在漏洞,导致敏感的个人信息被盗,允许第三方跟踪设备的位置。这些数据很可能被“有心人”使用。考虑到当今蓝牙产品的高渗透率,专家建议用户在这方面应保持警惕。

那么这个漏洞是什么?蓝牙设备有哪些安全隐患?消费者和技术供应商应如何防范相关技术风险? “科技日报”记者采访了相关专家。

“商标”信息导致设备被跟踪

那么波士顿大学研究人员发现的漏洞到底是什么?

“此漏洞与蓝牙设备建立通信连接的方式有关。”福建省网络安全与密码学重点实验室副主任,福建师范大学教授黄新宇解释说,蓝牙设备需要“配对”才能与目标终端建立通信连接。 “连接 - 传输数据”的过程。在该过程中,通过广播接收蓝牙状态改变,搜索设备,绑定设备和其他信号,并且攻击者可以“收听”无线网络中的蓝牙设备的广播信息。如果可以确定在一定范围内只有一个用户,则该范围内的攻击者搜索到的蓝牙信号和蓝牙地址将只是用户,从而在蓝牙设备和蓝牙设备之间建立一对一的对应关系。用户。

“某些蓝牙设备中的蓝牙地址是唯一的。一旦该地址与用户相关联,就可以记录他的行为并且难以保护用户隐私。”黄新宇说,即使用户不在原来的位置。蓝牙设备,只要其设备的蓝牙地址被“盯着”,攻击者仍然可以知道哪些蓝牙数据属于用户。

“在大多数设备上,蓝牙地址将被定期重新设置,以切断设备与用户之间的对应关系。” 360明麒麟安全研究所专家秦明熙表示,根据波士顿大学研究人员公布的最新研究表明,蓝牙通信标准中发现的最新漏洞是在蓝牙识别功能。只要“收听”蓝牙广播频道“跟踪”设备,该漏洞就不需要攻击者主动发送数据包。

为什么攻击者在随机更改蓝牙设备地址后仍能找到原始用户? “为了能够'了解'他们自己的设备,一些供应商已经在随机蓝牙地址和广播信息中编辑了一些与设备相关的信息,例如产品商标,这可能导致设备被跟踪。”秦明熙说。

360安全研究所独角兽安全团队的专家尹文旭解释说,例如,在Windows 10系统广播的蓝牙数据包中,每台设备上的部分数据不同,并且会有定期更改。与随机蓝牙地址类似,其初衷是为了防止被“细心的人”跟踪,但数据变化的时间和蓝牙地址的变化周期不同步,攻击者可以通过仔细分析和解释。启用设备的连续跟踪。

根据波士顿大学研究人员的测试结果,他们发现的漏洞出现在Windows 10系统,iOS系统,macOS系统和其他软件系统,以及Apple Watch和Fitbit智能手环等蓝牙设备上。包含与其他设备交互的自定义数据的信息。

可穿戴蓝牙设备隐藏更多风险

据统计,目前全球有数十亿智能设备使用蓝牙技术。虽然Wi-Fi可以取代蓝牙以满足用户的无线传输需求,但蓝牙和Wi-Fi功能通常可用于无线耳机,扬声器和其他设备。

“无线扬声器,车载信息娱乐系统,这种支持蓝牙的设备通常只涉及点对点单线传输,几乎不涉及其他设备,因此隐私性较低。例如,无线耳机通常只能连接用户”自己的手机或其他个人设备,不会与其他人的设备连接。“黄新宇说,但运动与健康相关的蓝牙智能穿戴设备,如智能手环,智能眼镜,智能运动鞋等,将通过手机软件上传个人信息,如用户的心率,睡眠,身体胖子等到服务器,即非个人用户设备,存在更大的隐私泄露风险。

据福建益顺信息技术有限公司技术总监蔡云鹏介绍,由于可穿戴设备需要激活蓝牙功能,因此需要广播地址和名称。在广播过程中,攻击者可以通过“监听”间接定位特定的终端佩戴者。位置,您还可以获取用户位置信息。另外,攻击者可以通过标准协议实时获取某些设备收集的健康信息。这部分数据通常不加密,很容易被“有心人”使用。同时,移动电话上的来电或应用消息通常被推送到具有蓝牙功能的可穿戴设备。当监控设备时,用户移动电话上的消息也可能被泄露。

例如,黄新宇说,目前市场上的大多数智能手环都使用直接工作配对模式,即用户启动连接但没有看到配对过程,设备通常不会验证源的配置过程。蓝牙命令。在这种情况下,攻击者可以简单地将包含特殊格式的数据发送到蓝牙设备,然后对手环可以任意“发出命令”,例如控制LED的颜色变化,打开实时步骤监控功能等。

中国尚未颁布特别安全标准

据估计,到2022年,蓝牙设备的数量将从目前的42亿增加到52亿,相关的安全问题将变得越来越严重。

不过,波士顿大学的研究人员还表示,Windows 10和iOS用户只需关闭蓝牙然后重新打开它即可设置新的蓝牙地址。 “在供应商修复此漏洞之前,这种'愚蠢'的方法对于重视个人隐私的用户来说可能是最有效的。”蔡云鹏说。

2018年6月11日,国家信息安全标准化技术委员会秘书处发布了国家标准《信息安全技术蓝牙安全指南》的咨询草案,目前正处于审批阶段。 “目前,中国还没有颁布特殊的安全标准。我建议尽快改进与蓝牙设备相关的安全标准。例如,某些设备增加了强制性蓝牙地址随机化功能,以及盗用和滥用蓝牙设备。蓝牙数据将受到严厉惩罚。不敢使用技术漏洞做非法事情。“黄新宇说。

在技术方面,蔡云鹏建议企业和厂商在配对和连接时应加强对蓝牙系统的保护措施:配对时,增加验证配对关键环节;连接时,使用相互身份验证以确保连接安全。在保护云数据安全方面,供应商应选择高安全性服务提供商,备份用户信息,加密和传输重要文件,使用加密云服务,认真对待密码,以及加强生产环境数据安全审计。硬件可以采用高安全性。性蓝牙系统芯片和模块,以最大限度地减少技术漏洞对用户的影响。

“当消费者选择产品时,他们应该尝试选择普通大型制造商生产的产品,不要盲目追求低价,这样他们在安全方面会更加安全。此外,在使用产品时,用户不应使用它们。尝试关闭蓝牙功能,并及时更新系统软件版本以阻止漏洞。“蔡云鹏建议用户应尽量减少蓝牙配对的数量,并选择在安全的地方配对,不要让别人同时,在使用手机时,用户应尽量不要连接,配对不受信任的设备,只能与熟悉的设备配对。

尹文旭说,Windows 10技术团队最近修复了波士顿大学研究人员发现的一个漏洞,用户只需更新软件即可完成修复。但是,对于更新速度较慢的物联网设备(如手镯),该漏洞可能会存在一段时间。建议其他制造商及时跟进并修复漏洞,发布系统更新,并检查其余产品是否存在类似的漏洞。

  • 友情链接:
  • 楚汉新闻门户网 版权所有© www.edu-china.net 技术支持:楚汉新闻门户网| 网站地图