藍牙耳機、藍牙手環(huán)、車載藍牙……藍牙技術自問世以來，不僅解決了許多數據傳輸方面的難題，同時也開啟了無線生活的大門，得到各類智能設備的青睞。但這項技術為我們生活帶來便利的同時，也帶來一些安全隱患。

據外媒報道，來自波士頓大學的研究人員于日前發(fā)現，在Fitbit智能手環(huán)等藍牙設備上，藍牙通信協議中存在的漏洞，會導致敏感的個人信息被竊取，允許第三方追蹤設備所在位置。這些數據很可能被“有心人”拿去使用，考慮到如今藍牙產品的普及率之高，專家建議用戶要在這方面提高警惕。

那么，這個漏洞是什么？目前藍牙設備還存在著哪些安全隱患？作為消費者以及技術廠商應該如何防范相關的技術風險？筆者就此采訪了有關專家。

1.“商標”信息導致設備被跟蹤

那么，波士頓大學研究者們發(fā)現的漏洞究竟是什么？

“這一漏洞與藍牙設備建立通信連接的方式有關?！?福建省網絡安全與密碼技術重點實驗室副主任、福建師范大學教授黃欣沂解釋道，藍牙設備與目標終端設備建立通信連接，需要一個“配對—連接—傳輸數據”的過程。在此過程中，藍牙狀態(tài)改變、搜索設備、綁定設備等信號，都是通過廣播接收到的，攻擊者可在無線網絡中“監(jiān)聽”到藍牙設備的廣播信息。若能確定在一定范圍內僅有一名用戶，那攻擊者在該范圍內搜索到的藍牙信號、藍牙地址，就只會是該用戶的，從而建立起藍牙設備和用戶之間的一一對應關系。

“一些藍牙設備內的藍牙地址具有唯一性，一旦這個地址與用戶相關聯，他的行動就可以被記錄，用戶隱私也就難以得到保障了。”黃欣沂說，那么即使該用戶不在原來的地點使用藍牙設備，只要其設備的藍牙地址被“盯”上，攻擊者仍能知道哪些藍牙數據是屬于該用戶的。

根據波士頓大學研究者們的測試結果，他們發(fā)現的漏洞出現在Windows 10系統(tǒng)、iOS系統(tǒng)、macOS系統(tǒng)等軟件系統(tǒng)以及Apple Watch、Fitbit智能手環(huán)等擁有藍牙功能的設備上，因為這些設備都會定期發(fā)送含有自定義數據的信息，以便和其他設備進行互動。

2.可穿戴藍牙設備隱藏更多風險

據統(tǒng)計，目前全球有數十億臺智能設備采用了藍牙技術。盡管Wi-Fi可替代藍牙滿足用戶的無線傳輸需求，但在無線耳機、揚聲器等設備上，通常會同時配備藍牙和Wi-Fi功能。

“無線揚聲器、車載信息娛樂系統(tǒng)，這類帶有藍牙功能的設備通常只涉及點對點的單線傳輸，幾乎不涉及其他設備，因而比較少泄露隱私。例如，無線耳機通常只連接用戶自己的手機或其他個人設備，不會連接他人的設備?！秉S欣沂說，但與體育和健康有關的、備有藍牙功能的智能可穿戴設備，如智能手環(huán)、智能眼鏡、智能運動鞋等，則會通過手機軟件將用戶的心率、睡眠、體脂等個人信息上傳至服務器中，也就是非個人用戶設備中，這就會存在較大的隱私泄露風險。

黃欣沂舉例說道，目前市面上大多數智能手環(huán)都采用直接工作配對模式，即用戶主動發(fā)起連接卻看不到配對過程，且設備通常對藍牙指令的來源不經認證。在這種情況下，攻擊者只要將一段含有特殊格式的數據傳至藍牙設備，就能對手環(huán)隨意“發(fā)號施令”，如控制LED顏色變化、開啟實時步數監(jiān)控功能等等。

3.我國尚未出臺專門的安全標準

據測算，預計到2022年，支持藍牙功能的設備數量將從現在的42億提升至52億，相關的安全問題將會變得日益嚴峻。

2018年6月11日，全國信息安全標準化技術委員會秘書處就國家標準《信息安全技術藍牙安全指南》發(fā)出了征求意見稿，目前該文件處于報批階段?！爱斍拔覈形闯雠_專門的安全標準，我建議應盡快完善與藍牙設備相關的安全標準，如對某些設備加入強制藍牙地址隨機化功能，規(guī)定盜用、濫用藍牙數據將受到嚴厲懲處，讓攻擊者不敢利用技術漏洞做違法的事。”黃欣沂說。

在技術方面，福建宜準信息科技有限公司技術總監(jiān)蔡云鵬建議企業(yè)和生產廠商應對藍牙系統(tǒng)在配對和連接環(huán)節(jié)加強保護措施：在配對時，增加驗證配對密鑰環(huán)節(jié);在連接時，要使用相互身份驗證方式來保證連接安全。在保護云端數據安全方面，廠商應盡量選擇高安全性的服務商，及時備份用戶信息、加密傳輸重要文件、使用加密云服務、認真對待密碼，加強生產環(huán)境數據安全審計;硬件上可采用高安全性的藍牙系統(tǒng)芯片和模塊，盡量降低技術漏洞給用戶帶來的影響。