开蓝牙可能泄露隐私?可穿戴蓝牙设备隐藏更多风险

  • 时间:
  • 浏览:0
  • 来源:大发分分时时彩—大发时时彩官方

原标题:

  蓝牙耳机、蓝牙手环、车载蓝牙……蓝牙技术自问世以来,不仅正确处理了你你这俩数据传输方面的哪些地方的什么的问题,一块儿也开启了无线生活的大门,得到各类智能设备的青睐。但这项技术为大伙儿生活带来便利的一块儿,也带来你你这俩安全隐患。

  据外媒报道,来自波士顿大学的研究人员于日前发现,在Fitbit智能手环等蓝牙设备上,蓝牙通信协议中趋于稳定的漏洞,其会意味敏感的我人及 信息被窃取,允许第三方追踪设备所在位置。哪些地方地方数据很你你这俩被“有心人”拿去使用,考虑到如今蓝牙产品的普及率之高,专家建议用户要在这方面提高警惕。

  不都都上能 ,你你这俩 漏洞是哪些地方?目前蓝牙设备还趋于稳定着哪些地方安全隐患?作为消费者以及技术厂商应该怎么才能 才能 防范相关的技术风险?科技日报记者就此采访了有关专家。

  “商标”信息意味设备被跟踪

  不都都上能 ,波士顿大学研究者们发现的漏洞究竟是哪些地方?

  “你你这俩 漏洞与蓝牙设备建立通信连接的妙招有关。” 福建省网络安全与密码技术重点实验室副主任、福建师范大学教授黄欣沂解释道,蓝牙设备与目标终端设备建立通信连接,还要原本“配对—连接—传输数据”的过程。在此过程中,蓝牙情况报告改变、搜索设备、绑定设备等信号,有的是通过广播接收到的,攻击者可在无线网络中“监听”到蓝牙设备的广播信息。若能选择 在一定范围内仅有一名用户,那攻击者在该范围内搜索到的蓝牙信号、蓝牙地址,就只会是该用户的,从而建立起蓝牙设备和用户之间的一一对应关系。

  “你你这俩蓝牙设备内的蓝牙地址具有唯一性,一旦你你这俩 地址与用户相关联,他的行动就都都上能被记录,用户隐私也就难以得到保障了。”黄欣沂说,不都都上能 即使该用户越来越了原本的地点使用蓝牙设备,假若其设备的蓝牙地址被“盯”上,攻击者仍能知道哪些地方蓝牙数据是属于该用户的。

  “在大帕累托图设备上,蓝牙地址有的是被定期重新随机设置,以切断设备和用户之间的对应关系。”350安全研究院独角兽安全团队专家秦明闯说,据波士顿大学的研究人员公布的最新研究成果显示,在蓝牙通信标准中最新找到的漏洞正趋于稳定于蓝牙的身份识别功能中。该漏洞不还要攻击者主动发数据包,假若“监听”蓝牙的广播信道就能“跟踪”某个设备。

  为啥蓝牙设备地址被随机改变后,攻击者仍都都上能找到原用户?“你你这俩厂商为了能‘认识’自家设备,在随机化的蓝牙地址、广播信息中,编入了你你这俩与设备有关的信息,好比产品商标,意味设备还是都都上能被追踪到。”秦明闯说。

  350安全研究院独角兽安全团队专家殷文旭举例解释说,如Windows 10系统广播的蓝牙数据包中,帕累托图数据在每台设备上不同,且会出显 周期性变化。与随机化的蓝牙地址累似 ,其初衷也是正确处理被“有心人”跟踪,但这帕累托图数据变化的周期和蓝牙地址变化的周期不同步,攻击者可通过周密的分析和解读,将二者关联起来,实现对设备的持续追踪。

  根据波士顿大学研究者们的测试结果,大伙儿发现的漏洞出显 在Windows 10系统、iOS系统、macOS系统等软件系统以及Apple Watch、Fitbit智能手环等拥有蓝牙功能的设备上,你你这俩哪些地方地方设备有的是定期发送含晒 自定义数据的信息,以便和你你这俩设备进行互动。

  可穿戴蓝牙设备隐藏更多风险

  据统计,目前全球有数十亿台智能设备采用了蓝牙技术。尽管Wi-Fi可替代蓝牙满足用户的无线传输需求,但在无线耳机、扬声器等设备上,通常会一块儿配备蓝牙和Wi-Fi功能。

  “无线扬声器、车载信息娱乐系统,累似 含晒 蓝牙功能的设备通常只涉及点对点的单线传输,几乎不涉及你你这俩设备,因而比较少泄露隐私。累似 ,无线耳机通常只连接用户我人及 的手机或你你这俩我人及 设备,不不连接他人的设备。”黄欣沂说,但与体育和健康有关的、备有蓝牙功能的智能可穿戴设备,如智能手环、智能眼镜、智能运动鞋等,则会通过手机软件将用户的心率、睡眠、体脂等我人及 信息上传至服务器中,也但是非我人及 用户设备中,这就会趋于稳定较大的隐私泄露风险。

  据福建宜准信息科技有限公司技术总监蔡云鹏介绍,你你这俩可穿戴设备要启动蓝牙功能,就还要广播地址和名称,在广播过程中,攻击者就可通过“监听”间接定位到具体终端佩戴者的位置,也就能获取用户位置信息。另外,攻击者还可通过标准协议,获取帕累托图设备实时分派到的健康体征信息,这帕累托图数据一般都未经过加密正确处理,很容易就被“有心人”利用。一块儿,手机端的来电或应用消息一般有的是推送到含晒 蓝牙功能的可穿戴设备上,当该设备被监控后,用户手机上的消息也你你这俩随之被泄露。

  黄欣沂举例说道,目前市面上大多数智能手环都采用直接工作配对模式,即用户主动发起连接却看不都都上能配对过程,且设备通常对蓝牙指令的来源不经认证。在你你这俩 情况报告下,攻击者假若将一段含晒 特殊格式的数据传至蓝牙设备,就能对手环随意“发号施令”,如控制LED颜色变化、开启实时步数监控功能等等。

  我国尚未出台专门的安全标准

  据测算,预计到2022年,支持蓝牙功能的设备数量将从现在的42亿提升至52亿,相关的安全哪些地方的什么的问题你你这俩变得日益严峻。

  不过,波士顿大学的研究者们也表示,Windows 10系统和iOS系统用户只需把蓝牙关掉再重新打开一次便可新设原本蓝牙地址。“在厂商们对此漏洞进行修复前,你你这俩 ‘笨’妙招对于注重我人及 隐私安全的用户来说,我说是最有效的了。”蔡云鹏说。

  2018年6月11日,全国信息安全标准化技术委员会秘书处就国家标准《信息安全技术蓝牙安全指南》发出了征求意见稿,目前该文件趋于稳定报批阶段。“当前我国尚未出台专门的安全标准,我建议应尽快完善与蓝牙设备相关的安全标准,如对你你这俩设备加入强制蓝牙地址随机化功能,规定盗用、滥用蓝牙数据将受到严厉惩处,让攻击者不敢利用技术漏洞做违法的事。”黄欣沂说。

  在技术方面,蔡云鹏建议企业和珍产厂商应对蓝牙系统在配对和连接环节加强保护妙招:在配对时,增加验证配对密钥环节;在连接时,要使用相互身份验证妙招来保证连接安全。在保护云端数据安全方面,厂商应尽量选择 高安全性的服务商,及时备份用户信息、加密传输重要文件、使用加密云服务、认真对待密码,加强生产环境数据安全审计;硬件上可采用高安全性的蓝牙系统芯片和模块,尽量降低技术漏洞给用户带来的影响。

  “消费者在选择 产品时,应尽量选择 正规大厂家生产的产品,不须一味追求低价,原本在安全性方面会更有保障。此外,在使用产品时,用户在不使用的情况报告下,应尽量关闭蓝牙功能,还要及时更新系统软件版本,堵住漏洞。”蔡云鹏建议,用户应尽量减少蓝牙配对次数,并选择 在安全的地方进行配对,不须让我人及 看到配对口令。一块儿,用户在使用手机时,尽量不去连接、配对不可信的设备,只与熟悉的设备进行配对。

  殷文旭表示,前不久Windows 10技术团队已修复了波士顿大学研究者发现的漏洞,用户假若进行软件更新就可完成修复。但对于手环累似 更新越来越的物联网设备,漏洞或将趋于稳定一段时间,建议你你这俩生产厂商及时跟进并修复该漏洞,发布系统更新,一块儿检查其余产品中也是是是不是趋于稳定累似 漏洞。

猜你喜欢

北京颐和园首次限流 市民最好提前网络购票预约

市属各大公园及园博馆10月3日迎来游园高峰,共接待市民游客64.1万人,同比去年增长8.7%。预计4日5日半个月还将是假期游园高峰,提醒广大市民最好提前网上预约购票。颐和园游客

2020-02-26

彩神app怎么注册啊官方 部分金融APP对接系统现异常:还了款,为啥被逾期?

日前,许多在小米金融APP上借款的金融消费者反映,此人 明明向小米金融还了款,却莫名其妙地收到银行发来的“逾期”警告短信。用户林先生展示了此人 收到的“逾期短信”,短信警告

2020-02-26

美研究说可用海底光缆监测地震

新华社洛杉矶11月28日电(记者谭晶晶)美国加利福尼亚大学伯克利分校28日回应,该校研究人员和同行成功完成了一次用海底光缆监测地震的实验,这说明全球已指在的光缆系统有潜力被用作

2020-02-26

【大发彩神快3赢钱秘籍官方】中日韩成都首脑会 提速自贸谈判/大公报记者葛冲北京报道

图:第八次中日韩领导人会大发彩神快3赢钱秘籍官方议将於24日在成都举行,会议焦点之一是加速中日韩自贸谈判。图为今年11月底,中日韩自贸区第十六轮谈判在韩国首尔举行资料图片中国国

2020-02-26

【uu快三注册】五萬元床褥瞓兩年下陷

圖:消委會總幹事黃鳳嫻表示,因考慮到交通問題,消委會昨日首次網上直播發布《選擇》uu快三注册月刊【大公報訊】床褥保養無保證!消委會今年首10個月接獲102宗床褥相關投訴,主要涉

2020-02-26