你的藍(lán)牙自帶風(fēng)險(xiǎn)？

藍(lán)牙耳機(jī)、藍(lán)牙手環(huán)、車載藍(lán)牙……藍(lán)牙技術(shù)自問(wèn)世以來(lái)，不僅解決了許多數(shù)據(jù)傳輸方面的難題，同時(shí)也開啟了無(wú)線生活的大門，得到各類智能設(shè)備的青睞。但這項(xiàng)技術(shù)為我們生活帶來(lái)便利的同時(shí)，也帶來(lái)一些安全隱患。

據(jù)外媒報(bào)道，來(lái)自波士頓大學(xué)的研究人員于日前發(fā)現(xiàn)，在Fitbit智能手環(huán)等藍(lán)牙設(shè)備上，藍(lán)牙通信協(xié)議中存在的漏洞，會(huì)導(dǎo)致敏感的個(gè)人信息被竊取，允許第三方追蹤設(shè)備所在位置。這些數(shù)據(jù)很可能被“有心人”拿去使用，考慮到如今藍(lán)牙產(chǎn)品的普及率之高，專家建議用戶要在這方面提高警惕。

那么，這個(gè)漏洞是什么？目前藍(lán)牙設(shè)備還存在著哪些安全隱患？作為消費(fèi)者以及技術(shù)廠商應(yīng)該如何防范相關(guān)的技術(shù)風(fēng)險(xiǎn)？筆者就此采訪了有關(guān)專家。

1.“商標(biāo)”信息導(dǎo)致設(shè)備被跟蹤

那么，波士頓大學(xué)研究者們發(fā)現(xiàn)的漏洞究竟是什么？

“這一漏洞與藍(lán)牙設(shè)備建立通信連接的方式有關(guān)?！?福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室副主任、福建師范大學(xué)教授黃欣沂解釋道，藍(lán)牙設(shè)備與目標(biāo)終端設(shè)備建立通信連接，需要一個(gè)“配對(duì)—連接—傳輸數(shù)據(jù)”的過(guò)程。在此過(guò)程中，藍(lán)牙狀態(tài)改變、搜索設(shè)備、綁定設(shè)備等信號(hào)，都是通過(guò)廣播接收到的，攻擊者可在無(wú)線網(wǎng)絡(luò)中“監(jiān)聽(tīng)”到藍(lán)牙設(shè)備的廣播信息。若能確定在一定范圍內(nèi)僅有一名用戶，那攻擊者在該范圍內(nèi)搜索到的藍(lán)牙信號(hào)、藍(lán)牙地址，就只會(huì)是該用戶的，從而建立起藍(lán)牙設(shè)備和用戶之間的一一對(duì)應(yīng)關(guān)系。

“一些藍(lán)牙設(shè)備內(nèi)的藍(lán)牙地址具有唯一性，一旦這個(gè)地址與用戶相關(guān)聯(lián)，他的行動(dòng)就可以被記錄，用戶隱私也就難以得到保障了。”黃欣沂說(shuō)，那么即使該用戶不在原來(lái)的地點(diǎn)使用藍(lán)牙設(shè)備，只要其設(shè)備的藍(lán)牙地址被“盯”上，攻擊者仍能知道哪些藍(lán)牙數(shù)據(jù)是屬于該用戶的。

根據(jù)波士頓大學(xué)研究者們的測(cè)試結(jié)果，他們發(fā)現(xiàn)的漏洞出現(xiàn)在Windows 10系統(tǒng)、iOS系統(tǒng)、macOS系統(tǒng)等軟件系統(tǒng)以及Apple Watch、Fitbit智能手環(huán)等擁有藍(lán)牙功能的設(shè)備上，因?yàn)檫@些設(shè)備都會(huì)定期發(fā)送含有自定義數(shù)據(jù)的信息，以便和其他設(shè)備進(jìn)行互動(dòng)。

2.可穿戴藍(lán)牙設(shè)備隱藏更多風(fēng)險(xiǎn)

據(jù)統(tǒng)計(jì)，目前全球有數(shù)十億臺(tái)智能設(shè)備采用了藍(lán)牙技術(shù)。盡管Wi-Fi可替代藍(lán)牙滿足用戶的無(wú)線傳輸需求，但在無(wú)線耳機(jī)、揚(yáng)聲器等設(shè)備上，通常會(huì)同時(shí)配備藍(lán)牙和Wi-Fi功能。

“無(wú)線揚(yáng)聲器、車載信息娛樂(lè)系統(tǒng)，這類帶有藍(lán)牙功能的設(shè)備通常只涉及點(diǎn)對(duì)點(diǎn)的單線傳輸，幾乎不涉及其他設(shè)備，因而比較少泄露隱私。例如，無(wú)線耳機(jī)通常只連接用戶自己的手機(jī)或其他個(gè)人設(shè)備，不會(huì)連接他人的設(shè)備?！秉S欣沂說(shuō)，但與體育和健康有關(guān)的、備有藍(lán)牙功能的智能可穿戴設(shè)備，如智能手環(huán)、智能眼鏡、智能運(yùn)動(dòng)鞋等，則會(huì)通過(guò)手機(jī)軟件將用戶的心率、睡眠、體脂等個(gè)人信息上傳至服務(wù)器中，也就是非個(gè)人用戶設(shè)備中，這就會(huì)存在較大的隱私泄露風(fēng)險(xiǎn)。

黃欣沂舉例說(shuō)道，目前市面上大多數(shù)智能手環(huán)都采用直接工作配對(duì)模式，即用戶主動(dòng)發(fā)起連接卻看不到配對(duì)過(guò)程，且設(shè)備通常對(duì)藍(lán)牙指令的來(lái)源不經(jīng)認(rèn)證。在這種情況下，攻擊者只要將一段含有特殊格式的數(shù)據(jù)傳至藍(lán)牙設(shè)備，就能對(duì)手環(huán)隨意“發(fā)號(hào)施令”，如控制LED顏色變化、開啟實(shí)時(shí)步數(shù)監(jiān)控功能等等。

3.我國(guó)尚未出臺(tái)專門的安全標(biāo)準(zhǔn)

據(jù)測(cè)算，預(yù)計(jì)到2022年，支持藍(lán)牙功能的設(shè)備數(shù)量將從現(xiàn)在的42億提升至52億，相關(guān)的安全問(wèn)題將會(huì)變得日益嚴(yán)峻。

2018年6月11日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處就國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)藍(lán)牙安全指南》發(fā)出了征求意見(jiàn)稿，目前該文件處于報(bào)批階段?！爱?dāng)前我國(guó)尚未出臺(tái)專門的安全標(biāo)準(zhǔn)，我建議應(yīng)盡快完善與藍(lán)牙設(shè)備相關(guān)的安全標(biāo)準(zhǔn)，如對(duì)某些設(shè)備加入強(qiáng)制藍(lán)牙地址隨機(jī)化功能，規(guī)定盜用、濫用藍(lán)牙數(shù)據(jù)將受到嚴(yán)厲懲處，讓攻擊者不敢利用技術(shù)漏洞做違法的事?！秉S欣沂說(shuō)。

在技術(shù)方面，福建宜準(zhǔn)信息科技有限公司技術(shù)總監(jiān)蔡云鵬建議企業(yè)和生產(chǎn)廠商應(yīng)對(duì)藍(lán)牙系統(tǒng)在配對(duì)和連接環(huán)節(jié)加強(qiáng)保護(hù)措施：在配對(duì)時(shí)，增加驗(yàn)證配對(duì)密鑰環(huán)節(jié);在連接時(shí)，要使用相互身份驗(yàn)證方式來(lái)保證連接安全。在保護(hù)云端數(shù)據(jù)安全方面，廠商應(yīng)盡量選擇高安全性的服務(wù)商，及時(shí)備份用戶信息、加密傳輸重要文件、使用加密云服務(wù)、認(rèn)真對(duì)待密碼，加強(qiáng)生產(chǎn)環(huán)境數(shù)據(jù)安全審計(jì);硬件上可采用高安全性的藍(lán)牙系統(tǒng)芯片和模塊，盡量降低技術(shù)漏洞給用戶帶來(lái)的影響。