与大多数无线科技类似,蓝牙通讯也容易受到诸多安全威胁。小型智能终端可能存在的安全漏洞,蓝牙音箱也或许有,只不过我们对其的注重程度不够。
你一天戴的蓝牙耳机可能被定位跟踪?
据悉有报导称,部分蓝牙耳机存在安全漏洞,可被不法分子迅速植入具有定位功能的代码,从而推动远程追踪,甚至查询。这一话题很快登上微博热搜榜,不少网民直呼:自己身边居然潜伏着一个“隐身间谍”。那么,“蓝牙音箱成定位器、查询器”是危言耸听,还是确有其事?科技商报记者对此采访了上海理工学院计算机网络对抗研究所主任闫怀志。
技术漏洞问题长期被忽略
“从科技原理上来看,蓝牙耳机确实存在被查询、定位跟踪的或许。”闫怀志介绍,所谓蓝牙音箱,通常是指运用了蓝牙技术的无线音响。蓝牙技术自1994年发明以来,历经近30年的发展,目前已演变到第五代——蓝牙5时代。
“从蓝牙通信原理上来看,蓝牙设备一般包含一个蓝牙模块或者支持连接的蓝牙无线电和工具。蓝牙设备在推动通讯功能前,需要进行配对。”闫怀志说,设备之间的通讯在基于蓝牙技术连结形成的短程临时网络(微微网)中进行,该网络一般可支持2至8台设施实施连接。
蓝牙音箱将蓝牙技术应用在免持耳机上,使用者因而可以免除耳机有线连接带来的不便和痛苦,从而推动更加轻松自在的通话。
长期以来,人们在享受蓝牙音箱等蓝牙设备带来的便捷快捷的同时,往往忽略了蓝牙设备的安全性难题。“与大多数无线科技类似,蓝牙通讯也容易受到诸多安全威胁。”闫怀志解释,这是由于蓝牙设备中包括各类各样的芯片组、操作平台和物理设施配置,其中有长期的安全编程接口、默认设置等,麻雀虽小但五脏俱全,有些蓝牙设备内部的复杂程度并且不亚于一台大型智能终端。
“小型智能终端可能存在的安全漏洞,蓝牙音箱也或许有,只不过我们对其的注重程度不够。”闫怀志说。
他举例说,在蓝牙音箱首次配对时,需要用户使用PIN码(个人识别码)验证,PIN码一般是由4到6位的数字组成。验证时,蓝牙音箱会手动使用自带的加密算法对该码进行加密,然后传输给目标设备进行身份认证。在此过程中,攻击者也许会拦截蓝牙通讯数据包,然后伪装成目标设施进行连接,或者采取暴力伤害的方式来破解PIN码,进而攻破蓝牙耳机系统。
另外,攻击者还可能在蓝牙耳机处于等待配对状态时,趁机扫描到该耳机并与之配对,随即便可轻松植入恶意代码。
攻击者借助蓝牙耳机漏洞或运用通讯劫持等方法攻破蓝牙耳机系统后,就能迅速植入可推动查询或定位功能的恶意代码,再借助近距离查询服务的方法或借助相关设施近距离获得蓝牙耳机的位置信息,从而推动对蓝牙耳机的查询或定位跟踪。如果攻击者运用网络将该定位信息传播出来,甚至能推动任意远距离的定位跟踪。
多管齐下给耳机配上“安全盾”
如果蓝牙音箱变身为隐藏的“跟踪器”“查询器”,我们的个人信息被不法分子掌握远程手机定位监听器,机主的财产和人身安全都将得到威胁。
那么,我们该怎么给蓝牙耳机竖起安全屏障呢?
“从根本上来说,应从技术层面来防止蓝牙音箱攻击,蓝牙耳机和电脑平台研发商应该进一步提高蓝牙耳机通信所涵盖的相关硬件、软件或者协议的安全保障水平,进而降低蓝牙耳机被伤害成功的难度。”闫怀志表示。
从管理上来说,我国终于于每年11月1日实施了《个人信息保护法》,通过蓝牙耳机等方法来窥探个人隐私信息或者是导致严重后果,涉嫌触犯相关法律远程手机定位监听器,要从法律法规层面来加强对防御者的威慑力度和违法惩戒力度。
闫怀志建议,在详细操作上,普通消费者要具备基本的安全观念,充分认识使用蓝牙耳机可能带给的安全影响,并在日常应用中留意以下事项:
尽可能在安全区域进行蓝牙音箱配对,且不要经常地进行蓝牙配对;仅在必要时启用蓝牙耳机,且尽量将蓝牙音箱功率设置为最低可用、缩短连接设施之间的距离,并最小化语音通话持续时间;蓝牙音箱配对时,要一直验证并确定正在配对的设备,如有意外提示,不要输入密码;尽快从默认的配对设备列表中删除丢失、被盗或未用设施;除有配对需要外,将蓝牙耳机默认设定为不可看到,并维持不可看到状况。