本报记者谢凯飞
来源:视觉中国
耳机、蓝牙手环、车载蓝牙……蓝牙技术不仅解决了数据传输的诸多问题,也打开了无线生活的大门,受到了各类智能设备的青睐。但是这项技术在给我们的生活带来便利的同时,也带来了一些安全隐患。
据国外媒体报道,来自波士顿大学的研究人员最近发现,Fitbit智能手环等蓝牙设备上的蓝牙通信协议存在漏洞,会导致敏感的个人信息被窃取,并允许第三方跟踪设备的位置。这些数据很可能被“有意愿的人”使用。考虑到如今蓝牙产品的高度普及,专家建议用户在这方面要提高警惕。
那么,这个漏洞是什么?目前蓝牙设备有哪些安全隐患?消费者和技术厂商应该如何防范相关技术风险?科技日报记者采访了相关专家。
“商标”信息导致设备被跟踪。
那么,波士顿大学的研究人员发现了哪些漏洞呢?
“这个漏洞与蓝牙设备建立通信连接的方式有关.”福建省网络安全与密码学重点实验室副主任、福建师范大学教授黄心怡解释说,蓝牙设备与目标终端设备之间建立通信连接需要一个“配对-连接-数据传输”的过程。在这个过程中,蓝牙状态改变、搜索设备、绑定设备等信号。都是通过广播接收的,攻击者可以“监听”无线网络中蓝牙设备的广播信息。如果可以确定某个范围内只有一个用户,那么攻击者在该范围内搜索到的蓝牙信号和蓝牙地址将只属于该用户,从而建立了蓝牙设备与用户的一一对应关系。
“某些蓝牙设备中的蓝牙地址是唯一的。这个地址一旦与用户关联,他的行动就可以被记录下来,用户的隐私几乎无法得到保障。”黄心怡说,即使用户没有在原来的位置使用蓝牙设备,只要他的设备的蓝牙地址被“盯着”,攻击者仍然可以知道哪些蓝牙数据属于用户。
“在大多数设备上,蓝牙地址会定期随机重置,以切断设备和用户之间的通信。”30安全研究院独角兽安全团队专家秦明创表示,根据波士顿大学研究人员公布的最新研究成果,蓝牙通信标准中发现的最新漏洞存在于蓝牙的识别功能中。这个漏洞不需要攻击者主动发送数据包,但可以通过“监听”蓝牙的广播信道来“跟踪”设备。
为什么蓝牙设备地址被随机更改后,攻击者仍能找到原用户?“为了‘了解’自己的设备,一些厂商将一些与设备相关的信息,如产品商标,编译到随机化的蓝牙地址和广播信息中,这样设备仍然可以被追踪。”秦明说。
30安全研究院独角兽安全团队专家尹解释说,比如Windows 10系统广播的蓝牙数据包中,有些数据在每个设备上是不一样的,会有周期性的变化。类似于随机化的蓝牙地址,其初衷是防止被有意愿的人跟踪。而数据变化的周期与蓝牙地址变化的周期并不同步,攻击者可以通过仔细的分析和解读将两者联系起来,实现对设备的持续跟踪。
根据波士顿大学研究人员的测试结果,他们发现的漏洞出现在Windows 10、iOS和macOS等软件系统中,以及Apple Watch和Fitbit智能手环等支持蓝牙的设备中,因为这些设备会定期发送包含自定义数据的消息来与其他设备进行交互。
可穿戴蓝牙设备隐藏更多风险
据统计,目前全球有数十亿台智能设备在使用蓝牙技术。虽然Wi-Fi可以取代蓝牙满足用户的无线传输需求,但无线耳机、扬声器等设备通常同时具备蓝牙和Wi-Fi功能。
“无线音箱、车载信息娱乐系统,这类带蓝牙功能的设备通常只涉及点对点单线传输,几乎不涉及其他设备,隐私泄露较少。例如,无线耳机通常只连接用户自己的手机或其他个人设备,不会连接其他人的设备。”黄心怡说,不过,与运动和健康相关并配有蓝牙功能的智能可穿戴设备,如智能手环、智能眼镜、智能运动鞋等。会上传用户的心率、睡眠、体脂等个人信息。通过手机软件传给服务器,也就是说非个人用户设备,这样会有更大的隐私泄露风险。
据福建一正信息科技有限公司技术总监蔡云鹏介绍,由于可穿戴设备需要广播地址和名称才能启动蓝牙功能,在广播过程中,攻击者可以通过“监听”间接定位到特定终端穿戴者的位置,也可以获得用户的位置信息。此外,攻击者还可以通过标准协议获取一些设备实时采集的健康体征信息。这部分数据一般不加密,容易被有心人利用。同时,来自手机的来电或应用消息一般会推送到具有蓝牙功能的可穿戴设备上。当设备被监控时,用户手机上的消息也可能被泄露。
黄心怡举例说,目前市面上的智能手环大多采用直接工作配对模式,即用户主动发起连接但看不到配对过程,设备通常不会对蓝牙指令的来源进行认证。在这种情况下,攻击者只要向蓝牙设备传输一段特殊格式的数据,就可以随意对手环“发号施令”,比如控制LED变色、开启实时计步监测功能等等。
中国尚未颁布专门的安全标准。
预计到2022年,支持蓝牙的设备将从目前的42亿增加到52亿,相关的安全问题也将日益严重。
然而,波士顿大学的研究人员也表示,Windows 10和iOS用户只需关闭蓝牙并再次打开,就可以设置一个新的蓝牙地址。“在厂商修复这个漏洞之前,对于注重个人隐私和安全的用户来说,这种‘愚蠢’的方法可能是最有效的。”蔡云鹏说。
2018年6月11日,全国信息安全标准化技术委员会秘书处发布了国家标准《信息安全技术蓝牙安全指南》的征求意见稿。目前,该文件正处于审批阶段。“目前,中国还没有专门的安全标准。我建议尽快完善蓝牙设备相关的安全标准,比如在部分设备上增加强制蓝牙地址随机化功能,规定盗窃和滥用蓝牙数据将受到严惩,让攻击者不敢利用技术漏洞做违法的事情。”黄心怡说。
在技术方面,蔡云鹏建议企业和厂商在蓝牙系统的配对和连接中加强保护措施:配对时,增加验证配对密钥的环节;连接时,应使用相互身份验证来确保连接的安全性。在保护云数据安全方面,厂商应尽量选择安全性高的服务商,及时备份用户信息,加密传输重要文件,使用加密云服务,严肃对待密码,加强生产环境的数据安全审核;硬件中可以使用高安全性的蓝牙系统芯片和模块,将技术漏洞对用户的影响降到最低。
“消费者在选择产品时,应尽量选择正规大厂家生产的产品,而不是一味追求低价,这样在安全性上会更有保障。此外,用户在使用产品时,应尽可能关闭蓝牙功能,并及时更新系统软件版本,封堵漏洞。”蔡云鹏建议用户尽量减少蓝牙配对的次数,选择在安全的地方配对,以免让别人看到配对密码。同时,用户在使用手机时,尽量不要连接或配对不信任的设备,只与熟悉的设备配对。
尹表示,不久前,Windows 10技术团队已经修复了波士顿大学研究人员发现的漏洞,用户可以通过更新软件来完成修复。但对于手环等更新缓慢的物联网设备,该漏洞可能会存在一段时间。建议其他厂商及时跟进修复漏洞,发布系统更新,检查其他产品是否存在类似漏洞。
