可穿戴藍牙設備隱藏更多風險
发布时间:
2021-11-12
據統計,現時全球有數十億臺智慧設備採用了藍牙技術。 儘管Wi-Fi可替代藍牙滿足用戶的無線傳輸需求,但在無線耳機、揚聲器等設備上,通常會同時配備藍牙和Wi-Fi功能。 “無線揚聲器、車載資訊娛樂系統,這類帶有藍牙功能的設備通常只涉及點對點的單線傳輸,幾乎不涉及其他設備,因而比較少洩露隱私。例如,無線耳機通常只連接用戶自己的手機或其他個人設備,不會連接他人的設備。”黃欣沂說,但與體育和健康有關的、備有藍牙功能的智慧可穿戴設備, 如智慧手環、智慧眼鏡、智慧運動鞋等,則會通過手機軟體將用戶的心率、睡眠、體脂等個人資訊上傳至服務器中,也就是非個人用戶設備中,這就會存在較大的隱私洩露風險。
據統計,現時全球有數十億臺智慧設備採用了藍牙技術。 儘管Wi-Fi可替代藍牙滿足用戶的無線傳輸需求,但在無線耳機、揚聲器等設備上,通常會同時配備藍牙和Wi-Fi功能。
“無線揚聲器、車載資訊娛樂系統,這類帶有藍牙功能的設備通常只涉及點對點的單線傳輸,幾乎不涉及其他設備,因而比較少洩露隱私。例如,無線耳機通常只連接用戶自己的手機或其他個人設備,不會連接他人的設備。”黃欣沂說,但與體育和健康有關的、備有藍牙功能的智慧可穿戴設備, 如智慧手環、智慧眼鏡、智慧運動鞋等,則會通過手機軟體將用戶的心率、睡眠、體脂等個人資訊上傳至服務器中,也就是非個人用戶設備中,這就會存在較大的隱私洩露風險。
據福建宜准資訊科技有限公司技術總監蔡雲鵬介紹,因為可穿戴設備要啟動藍牙功能,就需要廣播地址和名稱,在廣播過程中,攻擊者就可通過“監聽”間接定位到具體終端佩戴者的位置,也就能獲取用戶位置資訊。 另外,攻擊者還可通過標準協定,獲取部分設備實时採集到的健康體征資訊,這部分數據一般都未經過加密處理,很容易就被“有心人”利用。 同時,手機端的來電或應用消息一般都會推送到帶有藍牙功能的可穿戴設備上,當該設備被監控後,用戶手機上的消息也可能隨之被洩露。
黃欣沂舉例說道,現時市面上大多數智慧手環都採用直接工作配對模式,即用戶主動發起連接卻看不到配對過程,且設備通常對藍牙指令的來源不經認證。 在這種情況下,攻擊者只要將一段含有特殊格式的數據傳至藍牙設備,就能對手環隨意“發號施令”,如控制LED顏色變化、開啟實时步數監控功能等等。