别乱开蓝牙 当心你的隐私(2)

　　据福建宜准信息科技有限公司技术总监蔡云鹏介绍，因为可穿戴设备要启动蓝牙功能，就需要广播地址和名称，在广播过程中，攻击者就可通过“监听”间接定位到具体终端佩戴者的位置，也就能获取用户位置信息。另外，攻击者还可通过标准协议，获取部分设备实时采集到的健康体征信息，这部分数据一般都未经过加密处理，很容易就被“有心人”利用。同时，手机端的来电或应用消息一般都会推送到带有蓝牙功能的可穿戴设备上，当该设备被监控后，用户手机上的消息也可能随之被泄露。

　　黄欣沂举例说道，目前市面上大多数智能手环都采用直接工作配对模式，即用户主动发起连接却看不到配对过程，且设备通常对蓝牙指令的来源不经认证。在这种情况下，攻击者只要将一段含有特殊格式的数据传至蓝牙设备，就能对手环随意“发号施令”，如控制LED颜色变化、开启实时步数监控功能等等。

　　我国尚未出台专门的安全标准

　　据测算，预计到2022年，支持蓝牙功能的设备数量将从现在的42亿提升至52亿，相关的安全问题将会变得日益严峻。

　　不过，波士顿大学的研究者们也表示，Windows 10系统和iOS系统用户只需把蓝牙关掉再重新打开一次便可新设一个蓝牙地址。“在厂商们对此漏洞进行修复前，这个‘笨’办法对于注重个人隐私安全的用户来说，也许是最有效的了。”蔡云鹏说。

　　2018年6月11日，全国信息安全标准化技术委员会秘书处就国家标准《信息安全技术蓝牙安全指南》发出了征求意见稿，目前该文件处于报批阶段。“当前我国尚未出台专门的安全标准，我建议应尽快完善与蓝牙设备相关的安全标准，如对某些设备加入强制蓝牙地址随机化功能，规定盗用、滥用蓝牙数据将受到严厉惩处，让攻击者不敢利用技术漏洞做违法的事。”黄欣沂说。

　　在技术方面，蔡云鹏建议企业和生产厂商应对蓝牙系统在配对和连接环节加强保护措施：在配对时，增加验证配对密钥环节；在连接时，要使用相互身份验证方式来保证连接安全。在保护云端数据安全方面，厂商应尽量选择高安全性的服务商，及时备份用户信息、加密传输重要文件、使用加密云服务、认真对待密码，加强生产环境数据安全审计；硬件上可采用高安全性的蓝牙系统芯片和模块，尽量降低技术漏洞给用户带来的影响。

　　“消费者在选择产品时，应尽量选择正规大厂家生产的产品，不要一味追求低价，这样在安全性方面会更有保障。此外，在使用产品时，用户在不使用的情况下，应尽量关闭蓝牙功能，还要及时更新系统软件版本，堵住漏洞。”蔡云鹏建议，用户应尽量减少蓝牙配对次数，并选择在安全的地方进行配对，不要让其他人看到配对口令。同时，用户在使用手机时，尽量不去连接、配对不可信的设备，只与熟悉的设备进行配对。

　　殷文旭表示，前不久Windows 10技术团队已修复了波士顿大学研究者发现的漏洞，用户只要进行软件更新就可完成修复。但对于手环这类更新比较慢的物联网设备，漏洞或将存在一段时间，建议其他生产厂商及时跟进并修复该漏洞，发布系统更新，同时检查其余产品中也是否存在类似漏洞。