陕西工人报官方网站 | 陕工网首页 今天是
跟帖评论自律管理承诺书  不良信息举报电话:陕工网(029-87339475)
第7850期:第02版 综合新闻

你每天戴的蓝牙耳机可能被定位跟踪?

防止耳机被“策反”有妙招

语音播报: 语音播报

近日有报道称,部分蓝牙耳机存在安全漏洞,可被不法分子快速植入具有定位功能的代码,从而实现远程跟踪,甚至监听。这一话题迅速登上微博热搜榜,不少网友惊呼:自己身边居然潜伏着一个“隐身间谍”。那么,“蓝牙耳机成定位器、监听器”是危言耸听,还是确有其事?让我们来听听专家怎么说。

技术漏洞问题长期被忽视

“从技术原理上来看,蓝牙耳机确实存在被监听、定位跟踪的可能。”北京理工大学计算机网络对抗研究所所长闫怀志介绍,所谓蓝牙耳机,通常是指采用了蓝牙技术的无线耳机。

“从蓝牙通信原理上来看,蓝牙设备通常包括一个蓝牙模块以及支持连接的蓝牙无线电和软件。蓝牙设备在实现通信功能前,需要进行配对。”闫怀志说。蓝牙耳机将蓝牙技术应用在免持耳机上,使用者由此可以免除耳机有线连接带来的不便和烦恼,从而实现更加轻松自在的通话。

长期以来,人们在享受蓝牙耳机等蓝牙设备带来的方便快捷的同时,往往忽视了蓝牙设备的安全性问题。“与大多数无线技术类似,蓝牙通信也容易遭受各种安全威胁。”闫怀志解释,这是因为蓝牙设备中包含各种各样的芯片组、操作系统和物理设备配置,有些蓝牙设备内部的复杂程度甚至不亚于一台小型智能终端。

他举例说,在蓝牙耳机首次配对时,需要用户使用个人识别码验证,通常由4到6位数字组成。验证时,蓝牙耳机会自动使用自带的加密算法对该码进行加密,然后传输给目标设备进行身份认证。在此过程中,攻击者可能会拦截蓝牙通信数据包,然后伪装成目标设备进行连接,或者采用暴力攻击的方法来破解个人识别码,进而攻破蓝牙耳机系统。

此外,攻击者还可能在蓝牙耳机处于等待配对状态时,趁机扫描到该耳机并与之配对,随即便可轻松植入恶意代码。

攻击者通过蓝牙耳机漏洞或利用通信劫持等方式攻破蓝牙耳机系统后,就能快速植入可实现监听或定位功能的恶意代码,再通过近距离监听服务的方式或利用相关设备近距离获取蓝牙耳机的位置信息,从而实现对蓝牙耳机的监听或定位跟踪。如果攻击者利用网络将该定位信息传播出去,甚至能实现任意远距离的定位跟踪。

多管齐下给耳机配上“安全盾”

倘若蓝牙耳机变身为隐藏的“跟踪器”“监听器”,我们的个人信息被不法分子掌握,机主的财产和人身安全都将受到威胁。

那么,我们该如何给蓝牙耳机竖起安全屏障呢?

“从根本上来说,应从技术层面来防范蓝牙耳机攻击,蓝牙耳机和手机系统开发商需要进一步提升蓝牙耳机通信所涉及的相关硬件、软件以及协议的安全保障水平,进而增加蓝牙耳机被攻击成功的难度。”闫怀志表示。

从管理上来说,我国已经于今年11月1日施行了《个人信息保护法》,通过蓝牙耳机等方式来窃取个人隐私信息甚至是造成严重后果,涉嫌违反相关法律,要从法律法规层面来加大对攻击者的威慑力度和违法惩戒力度。

闫怀志建议,在具体操作上,普通消费者要具有基本的安全意识,在日常应用中注意尽可能在安全区域进行蓝牙耳机配对,不要频繁地进行蓝牙配对;仅在必要时启用蓝牙耳机,尽量将蓝牙耳机功率设置为最低可用、缩短连接设备之间的距离;蓝牙耳机配对时,要始终验证并确认正在配对的设备,如有意外提示,不要输入密码;及时从默认的配对设备列表中删除丢失、被盗或未用设备;除有配对需要外,将蓝牙耳机默认设置为不可发现,并保持不可发现状态。(陈曦)

关注公众号,随时阅读陕西工人报