发现蓝牙漏洞!可以跟踪iPhone,iPad,Mac,Apple Watch等

原标题:发现蓝牙漏洞!可以跟踪iPhone,iPad,Mac,Apple Watch等

引述外媒报道,国外一网站已经发现了一个蓝牙漏洞,可以让黑客跟踪各种设备 - 包括iPhone,iPad,Mac和Apple Watch。

其他易受攻击的设备是运行Windows 10和Fitbit可穿戴设备的笔记本电脑和平板电脑。然而,Android设备没有风险......

TNW报道了波士顿大学研究人员发现的漏洞。

波士顿大学(BU)的研究人员发现蓝牙通信协议存在一个缺陷,可能会使大多数设备暴露于第三方跟踪和泄漏可识别数据[...]
该漏洞允许攻击者通过利用蓝牙低功耗(BLE)实施方式中的缺陷来提取识别令牌,如设备类型或来自制造商的其他可识别数据,从而被动跟踪设备[...]
为了使两个设备之间的配对变得简单,BLE使用公共非加密广告渠道向其他附近设备宣布其存在。该协议最初引起了隐私问题,即在这些频道上广播设备的永久蓝牙MAC地址 - 一个唯一的48位标识符。
但是,BLE尝试通过让设备制造商使用周期性变化的随机地址而不是永久的媒体访问控制(MAC)地址来解决问题。
BU研究人员发现的漏洞利用此辅助随机MAC地址成功跟踪设备。研究人员表示,广告信息中存在的“识别令牌”对于设备来说也是唯一的,并且保持静态足够长的时间以用作除MAC地址之外的辅助标识符。

换句话说,可以将当前随机地址链接到下一个随机地址,从而将其识别为同一设备。然后可以无限期地跟踪它 - 尽管只能在相对较短的蓝牙信号范围内进行跟踪。

研究人员确实提出了安全问题的解决方案。

为了保护设备免受地址携带攻击,研究人员建议设备实现应该将有效负载变化与MAC地址随机化同步。
随着蓝牙设备的大规模应用,他们警告说“建立抗跟踪方法,特别是在未加密的通信渠道上,是至关重要的。”

目前还不清楚Apple和受影响的其他公司是否能够在无线更新中实现此更改,但与此同时,如果您担心自己的设备被跟踪,则有一个简单的解决方法。

在系统设置(或macOS上的菜单栏)中关闭和打开蓝牙将随机化地址并更改有效负载。

返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
免费获取
今日搜狐热点
今日推荐