蓝牙耳机能够实现“窃听”吗
作者:《保密工作》杂志
时间:2023-09-20

如今,蓝牙耳机在日常生活中的应用越来越普遍,可以听音乐、打电话、视频聊天等。在大部分使用者的认知里,蓝牙耳机既没有联网,也没有 GPS 定位功能,应该具备很高的安全性,可事实果真如此吗?

近期,中国科学技术大学在移动设备蓝牙安全研究中取得重要进展。相关研究团队在用户无感知、无交互、无须恶意程序配合的情况下,通过蓝牙协议漏洞实现了对目标设备的有效攻击。此项研究在 Android、iOS、iPadOS、macOS、HarmonyOS 等主流操作系统的各类智能设备中进行了广泛测试,均在被测设备中发现相关漏洞并完成了攻击流程。这意味着,部分蓝牙耳机存在安全漏洞,可能被不法分子植入带有监听或定位功能的恶意代码,追踪到耳机位置甚至监听通话内容。

蓝牙技术自1994年发明以来,历经近30年的发展,目前已演进到第5代。从蓝牙通信原理上看,蓝牙设备通常包括一个蓝牙模块以及支持连接的蓝牙无线电和软件,麻雀虽小但五脏俱全,复杂程度不亚于一台小型智能终端。蓝牙设备在实现通信功能前需要进行配对,设备之间的通信在基于蓝牙技术连接构建的短程临时网络(微微网)中进行,该网络通常可支持2至8台设备进行连接。

与大多数无线技术类似,蓝牙通信也容易遭受各种安全威胁。比如,在蓝牙耳机首次配对时,需要用户使用 PIN 码(个人识别码)验证。验证时,蓝牙耳机会使用自带的加密算法对该码进行加密,然后传输给目标设备进行身份认证。这一过程中,攻击者可能会拦截蓝牙通信数据包,伪装成目标设备进行连接,进而攻破蓝牙耳机系统。此外,攻击者还可能在蓝牙耳机处于等待配对状态时,趁机扫描到该耳机并与之配对,随即植入带有监听或定位功能的恶意代码。如果攻击者将该定位信息传播出去,甚至能够实现任意距离的定位跟踪。

这么看来,蓝牙耳机的确有实现“窃听”的可能。那么在日常使用中,应当如何防范蓝牙漏洞带来的风险呢?一方面,我们应当在非使用时间关闭移动设备的蓝牙功能,不将蓝牙耳机带入涉密场所;在配对时,要始终验证并确认正在配对的设备,妥善保管密码,及时从默认的配对设备列表中删除丢失、被盗或未用设备;在未配对时,将蓝牙耳机默认设置为不可发现,并保持不可发现状态。另一方面,手机系统和蓝牙耳机开发商要从技术层面防范蓝牙耳机攻击,进一步提升蓝牙耳机通信所涉及的相关硬件、软件以及协议的安全保障水平,增加蓝牙耳机被攻破的难度。

正品保证 优质服务 急速物流 售后无忧