藍牙現漏洞：可追蹤iPhone/iPad等設備 安卓除外

據外媒報道稱，藍牙被發現有一項漏洞，允許追蹤用戶額iPhone、iPad、Mac、Apple Watch等設備。其他易受攻擊的設備包括運行Windows10的PC/平板電腦、Fitbit可穿戴設備。但是，Android設備並沒有風險。

圖：Shutterstock

?據悉，藍牙漏洞是由波士頓大學研究人員關於脆弱性的TNW報告中發現的。波士頓大學（BU）的研究人員發現了藍牙通信協議中的一個缺陷，該缺陷可能使大多數設備暴露在第三方跟蹤和泄露可識別數據的環境中。

? 該藍牙漏洞允許攻擊者通過利用藍牙低能量（BLE）實現方式中的缺陷被動跟蹤設備，以從製造商處提取標識令牌，如設備類型或其他可識別數據。

? 為了使兩個設備之間的配對更容易，BLE使用公共的非加密廣告渠道向附近的其他設備宣布它們的存在。該協議最初引起了在這些頻道上廣播設備的永久藍牙MAC地址（一個唯一的48位標識符）的隱私問題。

? 然而，BLE試圖通過讓設備製造商使用一個周期性變化的隨機地址，而不是他們的永久媒體訪問控制（MAC）地址來解決這個問題。

? 波士頓大學BU研究人員發現的漏洞，利用這個次要的隨機MAC地址成功跟蹤設備。研究人員說，廣告信息中出現的「識別令牌」對於一個設備來說也是唯一的，並且在足夠長的時間內保持靜止，以用作除MAC地址之外的輔助標識符。

? 換句話說，藍牙漏洞可以將當前的隨機地址鏈接到下一個地址，從而將其標識為相同的設備。然後，它就可以無限期地被跟蹤——儘管只是在相對較短的藍牙信號範圍內。

? 對此，研究人員確實有一個解決安全問題的建議。為了保護設備不受地址轉移攻擊，研究人員建議設備實現應該將有效負載更改與MAC地址隨機化同步。

? 隨著藍牙設備的廣泛採用，研究人員警告說，「建立抗跟蹤的方法，特別是在未加密的通信信道上，是至關重要的。」

? 目前還不清楚蘋果和其他受影響的公司是否能夠在無線更新中實現這一變化，但與此同時，如果你擔心你的設備被跟蹤，有一個簡單的解決方法。在系統設置中（或在MacOS的菜單欄中）關閉和打開藍牙將隨機化地址並更改有效負載。

（7222774）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！