关于蓝牙的说法有很多神话和误解。自1989年以来,它经历了许多次迭代,并且当时存在的许多问题现在都已不相关。
但是每个新迭代还具有潜在的新安全漏洞和漏洞的可能性,因此,这样做是错误的认为蓝牙现在是安全的。不是。
我们不建议您完全放弃蓝牙。毕竟,它在许多方面都是有用的。例如,蓝牙扬声器超级方便。
我们要说的是,您应该意识到这些风险。这是在使用蓝牙时确保自己安全的方法。
1。安全连接不够好
蓝牙2.1于2007年发布时,它引入了一项新的安全功能,称为安全简单配对(SSP)。使用蓝牙2.0或更早版本的任何设备都不支持SSP,因此完全不安全。话虽这么说,甚至不能保证使用SSP的设备也是安全的。
事实证明,蓝牙2.1中使用的加密算法(与蓝牙2.1中使用的加密算法相同)以前的版本本身本身是不安全的,从而导致在蓝牙4.0中引入了新的加密算法(AES-CCM),但是即使该算法也被证明具有可利用的缺陷,因为它没有包含SSP。
然后我们进入蓝牙4.1时代,向非LE蓝牙设备添加了称为安全连接的新功能,然后进入蓝牙4.2时代,向LE蓝牙设备添加了相同功能。因此,从Bluetooth 4.2开始,所有较新的Bluetooth设备都支持SSP和AES-CCM加密。听起来不错,对吧?
不太正确。问题在于,在SSP的总称下有四种不同的配对方法……
…,每个都有其自身的缺陷:数字比较需要显示(并非所有设备都具有一个),而Just Works容易受到攻击和利用。带外需要一个单独的通道进行通信(并非所有设备都支持此通道),并且可以窃听“密码输入"(至少在当前状态下)。
糟糕。
您能做什么?请避免连接到使用旧版蓝牙的设备(在撰写本文时,这意味着4.2标准之前的任何设备)。同样,将所有蓝牙设备的固件升级到最新版本。如果无法实现,请丢弃这些设备或自行承担风险。
2。仍然存在许多攻击媒介
上述安全漏洞并不是蓝牙设备唯一存在的漏洞。现实情况是,以前版本的蓝牙中存在的许多攻击媒介仍然存在-它们恰好以不同的方式执行。
这些攻击可以影响任何正在积极使用蓝牙的设备,包括耳机,扬声器,键盘,鼠标,最重要的是,智能手机。
您能做什么?如果您可以更改设备的蓝牙密码(可以在手机,平板电脑,智能手表等上使用),请立即进行操作,确保您选择的密码是安全的!这可以减轻某些攻击媒介的侵害,但是唯一可以保证的保护措施是使蓝牙保持禁用状态。
另外,如果您对蓝牙的安全性持怀疑态度,请查看如何仍然存在许多蓝牙漏洞!
3。即使被隐藏,您也可以找到
蓝牙4.0中低能量传输的出现受到广泛欢迎,这主要是因为它使设备具有更长的电池寿命。但是LE蓝牙与传统蓝牙一样不安全,甚至不安全。
关于蓝牙的问题是,蓝牙在活动时会不断广播信息,以便可以向附近的设备发出有关其存在的警报。这就是使蓝牙一开始使用起来如此方便的原因。
问题在于,此广播信息还包含各个设备所独有的详细信息,包括称为通用唯一标识符(UUID)。将此与接收信号强度指示器(RSSI)结合使用,就可以观察和跟踪设备的移动。
大多数人认为将蓝牙设备设置为“无法发现"它隐藏在这种东西中,但这不是事实。正如Ars Technica最近证明的那样,有一些开放源代码工具即使在无法发现的情况下也可以让您闻起来。 Yikes。
我的新邻居正在使用AirDrop将某些文件从手机移到iMac。我还没有介绍自己,但是我已经知道他的名字了。同时,有人拿着圆石手表走过去,一个叫“约翰尼B"的人正按照他们的Garmin Nuvi的指示在他们的大众甲壳虫拐角处的交通信号灯上空转。另一个人在附近的商店里用苹果铅笔和他们的iPad。有人刚打开他们的三星智能电视。
我知道这一切,因为每个人都通过无线方式宣传他们的存在……而我正在运行一个名为Blue Hydra的开源工具。
您能做什么?很遗憾,除了始终禁用蓝牙功能之外,什么都没有。激活后,您将把所有这些信息广播到您的周围区域。
蓝牙可能不会成为未来
更安全的蓝牙替代品可能是Wi-Fi Direct。
您是否曾因蓝牙遇到任何问题?这些风险足以阻止您再次使用它吗?还是会像往常一样继续使用它?在评论中让我们知道!
