（要闻）别乱开蓝牙 当心你的隐私

本篇文章2668字，读完约7分钟

蓝牙耳机，蓝牙手环，车载蓝牙...蓝牙技术不仅解决了数据传输中的许多问题，还打开了无线生活的大门，受到各种智能设备的青睐。但是这项技术在给我们的生活带来便利的同时，也带来了一些安全隐患。

据国外媒体报道，波士顿大学的研究人员最近发现，fitbit智能手环等蓝牙设备上的蓝牙通信协议存在漏洞，将导致敏感个人信息被盗，并允许第三方跟踪设备的位置。这些数据很可能被“有意愿的人”利用。考虑到蓝牙产品的高普及率，专家建议用户在这方面要提高警惕。

那么，这是什么漏洞呢？目前蓝牙设备存在哪些安全隐患？消费者和技术厂商应该如何防范相关的技术风险？《科技日报》记者采访了相关专家。

商标信息导致设备被跟踪

那么，波士顿大学研究人员发现了哪些漏洞呢？

"该漏洞与蓝牙设备建立通信连接的方式有关."福建省网络安全与密码学重点实验室副主任、福建师范大学教授黄心怡解释说，蓝牙设备与目标终端设备之间建立通信连接需要一个“配对-连接-传输数据”的过程。在这个过程中，蓝牙状态改变、设备搜索、设备绑定等信号都是通过广播接收的，攻击者可以“监听”无线网络中蓝牙设备的广播信息。如果可以确定某个范围内只有一个用户，那么攻击者在该范围内搜索到的蓝牙信号和蓝牙地址将只属于该用户，从而建立蓝牙设备与用户的一一对应关系。

“某些蓝牙设备中的蓝牙地址是唯一的。一旦这个地址与用户关联，他的行为就可以被记录下来，用户隐私就很难得到保障。”黄心怡说，即使用户没有在原来的地方使用蓝牙设备，只要设备的蓝牙地址被“盯着”，攻击者仍然可以知道哪些蓝牙数据属于用户。

在大多数设备上，蓝牙地址会定期重新随机设置，以切断设备和用户之间的通信360安全研究院独角兽安全团队专家秦明创表示，根据波士顿大学研究人员发布的最新研究结果，新发现的蓝牙通信标准漏洞在于蓝牙的身份识别功能。该漏洞不要求攻击者主动发送数据包，而是可以通过“监听”蓝牙的广播信道来“跟踪”设备。

为什么蓝牙设备地址随机更改后，攻击者还能找到原用户？“为了‘了解’自己的设备，一些制造商已经将一些与设备相关的信息(如产品商标)纳入随机蓝牙地址和广播信息中，从而使设备仍然可以被跟踪。”秦明说。

来自360安全研究院独角兽安全团队的专家尹解释说，例如，在windows 10系统广播的蓝牙数据包中，一些数据在每个设备上是不同的，并且会周期性地改变。类似于随机化的蓝牙地址，其初衷是为了防止被“有心人”跟踪。但是这部分数据的变化周期与蓝牙地址的变化周期并不同步。攻击者可以通过仔细的分析和解释将两者联系起来，实现对设备的连续跟踪。

根据波士顿大学研究人员的测试结果，他们发现的漏洞出现在windows 10、ios、macos等软件系统，以及apple watch、fitbit Smart手镯等具有蓝牙功能的设备中，因为这些设备定期发送包含定制数据的信息，与其他设备进行交互。

可穿戴蓝牙设备隐藏更多风险

据统计，目前全球已有数十亿智能设备采用了蓝牙技术。虽然wi-fi可以代替蓝牙来满足用户的无线传输需求，但是蓝牙和wi-fi功能通常是在无线耳机和扬声器等设备上提供的。

“无线音箱，车载信息娱乐系统，这类带蓝牙功能的设备通常只涉及点到点单线传输，几乎不涉及其他设备，隐私泄露较少。例如，无线耳机通常只连接到用户自己的手机或其他个人设备，不会连接到其他人的设备。”不过，黄心怡表示，具有蓝牙功能的智能可穿戴设备与运动和健康有关，比如智能手环、智能眼镜、智能运动鞋等。，会上传心率、睡眠、体脂等个人信息。用户通过手机软件连接到服务器，即非个人用户设备，这将有更大的隐私泄露风险。

据福建益俊信息科技有限公司技术总监蔡云鹏介绍，由于可穿戴设备需要广播地址和姓名才能启动蓝牙功能，在广播过程中，攻击者可以通过“监控”间接定位特定终端穿戴者的位置，也可以获得用户位置信息。此外，攻击者还可以通过标准协议实时获取一些设备收集的健康标志信息。这部分数据一般不加密，很容易被“有心人”利用。同时，来自手机的来电或应用消息通常被推送到具有蓝牙功能的可穿戴设备上。当设备被监控时，用户手机上的信息也可能被泄露。

黄心怡说，例如，目前市场上大多数智能手环采用直接工作配对模式，即用户主动发起连接，但看不到配对过程，设备通常对蓝牙指令的来源没有认证。这种情况下，攻击者只要将一段特殊格式的数据传输到蓝牙设备，就可以随意对铃声下达命令，比如控制led变色，开启实时步监控功能等等。

中国尚未颁布特殊的安全标准

预计到2022年，支持蓝牙的设备数量将从目前的42亿台增加到52亿台，相关的安全问题将日益严峻。

然而，波士顿大学的研究人员也表示，windows 10和ios的用户只需关闭蓝牙并再次打开它，就可以设置一个新的蓝牙地址。“在供应商修复此漏洞之前，这种‘愚蠢’的方法可能对关注个人隐私的用户最有效。”蔡云鹏说。

2018年6月11日，国家信息安全标准化技术委员会秘书处发布了《信息安全技术蓝牙安全指南》国家标准征求意见稿，目前处于审批阶段。“目前，中国还没有出台特殊的安全标准。建议尽快完善蓝牙设备相关的安全标准。比如在一些设备上增加了强制蓝牙地址随机化功能，规定盗窃和滥用蓝牙数据将受到严惩，让攻击者不敢利用技术漏洞做违法的事情。”黄心怡说。

技术方面，蔡云鹏建议企业和厂商在蓝牙系统的配对和连接中加强保护措施:配对时，增加配对密钥的验证；连接时，请使用相互身份验证来确保连接安全。在保护云数据安全方面，厂商应尽量选择高安全性的服务商，及时备份用户信息，加密传输重要文件，使用加密云服务，重视密码，加强生产环境数据安全审核；硬件可以使用高安全性的蓝牙系统芯片和模块，将技术漏洞对用户的影响降到最低。

“消费者在选择产品时，应该尽量选择正规大厂商生产的产品，而不是一味追求低价，这样在安全方面会更有保障。另外，用户在使用该产品时，应在不使用蓝牙功能的情况下，尽可能关闭蓝牙功能，并及时更新系统软件版本，阻断漏洞。”蔡云鹏建议用户尽量减少蓝牙配对次数，选择在安全的地方配对，以免让别人看到配对密码。同时，用户在使用手机时，尽量不连接和配对不可信的设备，只与熟悉的设备配对。

尹表示，不久前，windows 10技术团队已经修复了波士顿大学研究人员发现的漏洞，用户只需更新软件即可完成修复。但是对于手镯等更新较慢的物联网设备，该漏洞可能会存在一段时间。建议其他厂商及时跟进修复漏洞，发布系统更新，检查其他产品是否存在类似漏洞。(记者谢凯飞)