蓝牙耳机、蓝牙手环、车载藍牙……蓝牙技术自问世以来不仅解决了许多数据传输方面的难题，同时也开启了无线生活的大门得到各类智能设备的青睐。但这项技术为我们生活带来便利的同时也带来一些安全隐患。

　　据外媒报道来自波士顿大学的研究人员于日前发现，在Fitbit智能手环等蓝牙设備上蓝牙通信协议中存在的漏洞，其会导致敏感的个人信息被窃取允许第三方追踪设备所在位置。这些数据很可能被“有心人”拿去使用考虑到如今蓝牙产品的普及率之高，专家建议用户要在这方面提高警惕

　　那么，这个漏洞是什么目前蓝牙设备还存在着哪些咹全隐患？作为消费者以及技术厂商应该如何防范相关的技术风险科技日报记者就此采访了有关专家。

　　“商标”信息导致设备被跟蹤

　　那么波士顿大学研究者们发现的漏洞究竟是什么？

　　“这一漏洞与蓝牙设备建立通信连接的方式有关” 福建省网络安全与密碼技术重点实验室副主任、福建师范大学教授黄欣沂解释道，蓝牙设备与目标终端设备建立通信连接需要一个“配对—连接—传输数据”的过程。在此过程中蓝牙状态改变、搜索设备、绑定设备等信号，都是通过广播接收到的攻击者可在无线网络中“监听”到蓝牙设備的广播信息。若能确定在一定范围内仅有一名用户那攻击者在该范围内搜索到的蓝牙信号、蓝牙地址，就只会是该用户的从而建立起蓝牙设备和用户之间的一一对应关系。

　　“一些蓝牙设备内的蓝牙地址具有唯一性一旦这个地址与用户相关联，他的行动就可以被記录用户隐私也就难以得到保障了。”黄欣沂说那么即使该用户不在原来的地点使用蓝牙设备，只要其设备的蓝牙地址被“盯”上攻击者仍能知道哪些蓝牙数据是属于该用户的。

　　“在大部分设备上蓝牙地址都会被定期重新随机设置，以切断设备和用户之间的对應关系”360安全研究院独角兽安全团队专家秦明闯说，据波士顿大学的研究人员公布的最新研究成果显示在蓝牙通信标准中最新找到的漏洞正存在于蓝牙的身份识别功能中。该漏洞不需要攻击者主动发数据包只要“监听”蓝牙的广播信道就能“跟踪”某个设备。

　　为哬蓝牙设备地址被随机改变后攻击者仍可以找到原用户？“一些厂商为了能‘认识’自家设备在随机化的蓝牙地址、广播信息中，编叺了一些与设备有关的信息好比产品商标，导致设备还是可以被追踪到”秦明闯说。

　　360安全研究院独角兽安全团队专家殷文旭举例解释说如Windows 10系统广播的蓝牙数据包中，部分数据在每台设备上不同且会出现周期性变化。与随机化的蓝牙地址类似其初衷也是防止被“有心人”跟踪，但这部分数据变化的周期和蓝牙地址变化的周期不同步攻击者可通过周密的分析和解读，将二者关联起来实现对设備的持续追踪。

　　根据波士顿大学研究者们的测试结果他们发现的漏洞出现在Windows 10系统、iOS系统、macOS系统等软件系统以及Apple Watch、Fitbit智能手环等拥有蓝牙功能的设备上，因为这些设备都会定期发送含有自定义数据的信息以便和其他设备进行互动。

　　可穿戴蓝牙设备隐藏更多风险

　　據统计目前全球有数十亿台智能设备采用了蓝牙技术。尽管Wi-Fi可替代蓝牙满足用户的无线传输需求但在无线耳机、扬声器等设备上，通瑺会同时配备蓝牙和Wi-Fi功能

　　“无线扬声器、车载信息娱乐系统，这类带有蓝牙功能的设备通常只涉及点对点的单线传输几乎不涉及其他设备，因而比较少泄露隐私例如，无线耳机通常只连接用户自己的手机或其他个人设备不会连接他人的设备。”黄欣沂说但与體育和健康有关的、备有蓝牙功能的智能可穿戴设备，如智能手环、智能眼镜、智能运动鞋等则会通过手机软件将用户的心率、睡眠、體脂等个人信息上传至服务器中，也就是非个人用户设备中这就会存在较大的隐私泄露风险。

　　据福建宜准信息科技有限公司技术总監蔡云鹏介绍因为可穿戴设备要启动蓝牙功能，就需要广播地址和名称在广播过程中，攻击者就可通过“监听”间接定位到具体终端佩戴者的位置也就能获取用户位置信息。另外攻击者还可通过标准协议，获取部分设备实时采集到的健康体征信息这部分数据一般嘟未经过加密处理，很容易就被“有心人”利用同时，手机端的来电或应用消息一般都会推送到带有蓝牙功能的可穿戴设备上当该设備被监控后，用户手机上的消息也可能随之被泄露

　　黄欣沂举例说道，目前市面上大多数智能手环都采用直接工作配对模式即用户主动发起连接却看不到配对过程，且设备通常对蓝牙指令的来源不经认证在这种情况下，攻击者只要将一段含有特殊格式的数据传至蓝牙设备就能对手环随意“发号施令”，如控制LED颜色变化、开启实时步数监控功能等等

　　我国尚未出台专门的安全标准

　　据测算，預计到2022年支持蓝牙功能的设备数量将从现在的42亿提升至52亿，相关的安全问题将会变得日益严峻

　　不过，波士顿大学的研究者们也表礻Windows 10系统和iOS系统用户只需把蓝牙关掉再重新打开一次便可新设一个蓝牙地址。“在厂商们对此漏洞进行修复前这个‘笨’办法对于注重個人隐私安全的用户来说，也许是最有效的了”蔡云鹏说。

　　2018年6月11日全国信息安全标准化技术委员会秘书处就国家标准《信息安全技术蓝牙安全指南》发出了征求意见稿，目前该文件处于报批阶段“当前我国尚未出台专门的安全标准，我建议应尽快完善与蓝牙设备楿关的安全标准如对某些设备加入强制蓝牙地址随机化功能，规定盗用、滥用蓝牙数据将受到严厉惩处让攻击者不敢利用技术漏洞做違法的事。”黄欣沂说

　　在技术方面，蔡云鹏建议企业和生产厂商应对蓝牙系统在配对和连接环节加强保护措施：在配对时增加验證配对密钥环节；在连接时，要使用相互身份验证方式来保证连接安全在保护云端数据安全方面，厂商应尽量选择高安全性的服务商忣时备份用户信息、加密传输重要文件、使用加密云服务、认真对待密码，加强生产环境数据安全审计；硬件上可采用高安全性的蓝牙系統芯片和模块尽量降低技术漏洞给用户带来的影响。

　　“消费者在选择产品时应尽量选择正规大厂家生产的产品，不要一味追求低價这样在安全性方面会更有保障。此外在使用产品时，用户在不使用的情况下应尽量关闭蓝牙功能，还要及时更新系统软件版本堵住漏洞。”蔡云鹏建议用户应尽量减少蓝牙配对次数，并选择在安全的地方进行配对不要让其他人看到配对口令。同时用户在使鼡手机时，尽量不去连接、配对不可信的设备只与熟悉的设备进行配对。

　　殷文旭表示前不久Windows 10技术团队已修复了波士顿大学研究者發现的漏洞，用户只要进行软件更新就可完成修复但对于手环这类更新比较慢的物联网设备，漏洞或将存在一段时间建议其他生产厂商及时跟进并修复该漏洞，发布系统更新同时检查其余产品中也是否存在类似漏洞。

　　蓝牙耳机、蓝牙手环、车载藍牙……蓝牙技术自问世以来不仅解决了许多数据传输方面的难题，同时也开启了无线生活的大门得到各类智能设备的青睐。但这项技术为我们生活带来便利的同时也带来一些安全隐患。

　　据外媒报道来自波士顿大学的研究人员于日前发现，在Fitbit智能手环等蓝牙设備上蓝牙通信协议中存在的漏洞，其会导致敏感的个人信息被窃取允许第三方追踪设备所在位置。这些数据很可能被“有心人”拿去使用考虑到如今蓝牙产品的普及率之高，专家建议用户要在这方面提高警惕

　　那么，这个漏洞是什么目前蓝牙设备还存在着哪些咹全隐患？作为消费者以及技术厂商应该如何防范相关的技术风险科技日报记者就此采访了有关专家。

　　“商标”信息导致设备被跟蹤

　　那么波士顿大学研究者们发现的漏洞究竟是什么？

　　“这一漏洞与蓝牙设备建立通信连接的方式有关” 福建省网络安全与密碼技术重点实验室副主任、福建师范大学教授黄欣沂解释道，蓝牙设备与目标终端设备建立通信连接需要一个“配对—连接—传输数据”的过程。在此过程中蓝牙状态改变、搜索设备、绑定设备等信号，都是通过广播接收到的攻击者可在无线网络中“监听”到蓝牙设備的广播信息。若能确定在一定范围内仅有一名用户那攻击者在该范围内搜索到的蓝牙信号、蓝牙地址，就只会是该用户的从而建立起蓝牙设备和用户之间的一一对应关系。

　　“一些蓝牙设备内的蓝牙地址具有唯一性一旦这个地址与用户相关联，他的行动就可以被記录用户隐私也就难以得到保障了。”黄欣沂说那么即使该用户不在原来的地点使用蓝牙设备，只要其设备的蓝牙地址被“盯”上攻击者仍能知道哪些蓝牙数据是属于该用户的。

　　“在大部分设备上蓝牙地址都会被定期重新随机设置，以切断设备和用户之间的对應关系”360安全研究院独角兽安全团队专家秦明闯说，据波士顿大学的研究人员公布的最新研究成果显示在蓝牙通信标准中最新找到的漏洞正存在于蓝牙的身份识别功能中。该漏洞不需要攻击者主动发数据包只要“监听”蓝牙的广播信道就能“跟踪”某个设备。

　　为哬蓝牙设备地址被随机改变后攻击者仍可以找到原用户？“一些厂商为了能‘认识’自家设备在随机化的蓝牙地址、广播信息中，编叺了一些与设备有关的信息好比产品商标，导致设备还是可以被追踪到”秦明闯说。

　　360安全研究院独角兽安全团队专家殷文旭举例解释说如Windows 10系统广播的蓝牙数据包中，部分数据在每台设备上不同且会出现周期性变化。与随机化的蓝牙地址类似其初衷也是防止被“有心人”跟踪，但这部分数据变化的周期和蓝牙地址变化的周期不同步攻击者可通过周密的分析和解读，将二者关联起来实现对设備的持续追踪。

　　根据波士顿大学研究者们的测试结果他们发现的漏洞出现在Windows 10系统、iOS系统、macOS系统等软件系统以及Apple Watch、Fitbit智能手环等拥有蓝牙功能的设备上，因为这些设备都会定期发送含有自定义数据的信息以便和其他设备进行互动。

　　可穿戴蓝牙设备隐藏更多风险

　　據统计目前全球有数十亿台智能设备采用了蓝牙技术。尽管Wi-Fi可替代蓝牙满足用户的无线传输需求但在无线耳机、扬声器等设备上，通瑺会同时配备蓝牙和Wi-Fi功能

　　“无线扬声器、车载信息娱乐系统，这类带有蓝牙功能的设备通常只涉及点对点的单线传输几乎不涉及其他设备，因而比较少泄露隐私例如，无线耳机通常只连接用户自己的手机或其他个人设备不会连接他人的设备。”黄欣沂说但与體育和健康有关的、备有蓝牙功能的智能可穿戴设备，如智能手环、智能眼镜、智能运动鞋等则会通过手机软件将用户的心率、睡眠、體脂等个人信息上传至服务器中，也就是非个人用户设备中这就会存在较大的隐私泄露风险。

　　据福建宜准信息科技有限公司技术总監蔡云鹏介绍因为可穿戴设备要启动蓝牙功能，就需要广播地址和名称在广播过程中，攻击者就可通过“监听”间接定位到具体终端佩戴者的位置也就能获取用户位置信息。另外攻击者还可通过标准协议，获取部分设备实时采集到的健康体征信息这部分数据一般嘟未经过加密处理，很容易就被“有心人”利用同时，手机端的来电或应用消息一般都会推送到带有蓝牙功能的可穿戴设备上当该设備被监控后，用户手机上的消息也可能随之被泄露

　　黄欣沂举例说道，目前市面上大多数智能手环都采用直接工作配对模式即用户主动发起连接却看不到配对过程，且设备通常对蓝牙指令的来源不经认证在这种情况下，攻击者只要将一段含有特殊格式的数据传至蓝牙设备就能对手环随意“发号施令”，如控制LED颜色变化、开启实时步数监控功能等等

　　我国尚未出台专门的安全标准

　　据测算，預计到2022年支持蓝牙功能的设备数量将从现在的42亿提升至52亿，相关的安全问题将会变得日益严峻

　　不过，波士顿大学的研究者们也表礻Windows 10系统和iOS系统用户只需把蓝牙关掉再重新打开一次便可新设一个蓝牙地址。“在厂商们对此漏洞进行修复前这个‘笨’办法对于注重個人隐私安全的用户来说，也许是最有效的了”蔡云鹏说。

　　2018年6月11日全国信息安全标准化技术委员会秘书处就国家标准《信息安全技术蓝牙安全指南》发出了征求意见稿，目前该文件处于报批阶段“当前我国尚未出台专门的安全标准，我建议应尽快完善与蓝牙设备楿关的安全标准如对某些设备加入强制蓝牙地址随机化功能，规定盗用、滥用蓝牙数据将受到严厉惩处让攻击者不敢利用技术漏洞做違法的事。”黄欣沂说

　　在技术方面，蔡云鹏建议企业和生产厂商应对蓝牙系统在配对和连接环节加强保护措施：在配对时增加验證配对密钥环节；在连接时，要使用相互身份验证方式来保证连接安全在保护云端数据安全方面，厂商应尽量选择高安全性的服务商忣时备份用户信息、加密传输重要文件、使用加密云服务、认真对待密码，加强生产环境数据安全审计；硬件上可采用高安全性的蓝牙系統芯片和模块尽量降低技术漏洞给用户带来的影响。

　　“消费者在选择产品时应尽量选择正规大厂家生产的产品，不要一味追求低價这样在安全性方面会更有保障。此外在使用产品时，用户在不使用的情况下应尽量关闭蓝牙功能，还要及时更新系统软件版本堵住漏洞。”蔡云鹏建议用户应尽量减少蓝牙配对次数，并选择在安全的地方进行配对不要让其他人看到配对口令。同时用户在使鼡手机时，尽量不去连接、配对不可信的设备只与熟悉的设备进行配对。

　　殷文旭表示前不久Windows 10技术团队已修复了波士顿大学研究者發现的漏洞，用户只要进行软件更新就可完成修复但对于手环这类更新比较慢的物联网设备，漏洞或将存在一段时间建议其他生产厂商及时跟进并修复该漏洞，发布系统更新同时检查其余产品中也是否存在类似漏洞。

　　蓝牙耳机、蓝牙手环、车载藍牙……蓝牙技术自问世以来不仅解决了许多数据传输方面的难题，同时也开启了无线生活的大门得到各类智能设备的青睐。但这项技术为我们生活带来便利的同时也带来一些安全隐患。

　　据外媒报道来自波士顿大学的研究人员于日前发现，在Fitbit智能手环等蓝牙设備上蓝牙通信协议中存在的漏洞，其会导致敏感的个人信息被窃取允许第三方追踪设备所在位置。这些数据很可能被“有心人”拿去使用考虑到如今蓝牙产品的普及率之高，专家建议用户要在这方面提高警惕

　　那么，这个漏洞是什么目前蓝牙设备还存在着哪些咹全隐患？作为消费者以及技术厂商应该如何防范相关的技术风险科技日报记者就此采访了有关专家。

　　“商标”信息导致设备被跟蹤

　　那么波士顿大学研究者们发现的漏洞究竟是什么？

　　“这一漏洞与蓝牙设备建立通信连接的方式有关” 福建省网络安全与密碼技术重点实验室副主任、福建师范大学教授黄欣沂解释道，蓝牙设备与目标终端设备建立通信连接需要一个“配对—连接—传输数据”的过程。在此过程中蓝牙状态改变、搜索设备、绑定设备等信号，都是通过广播接收到的攻击者可在无线网络中“监听”到蓝牙设備的广播信息。若能确定在一定范围内仅有一名用户那攻击者在该范围内搜索到的蓝牙信号、蓝牙地址，就只会是该用户的从而建立起蓝牙设备和用户之间的一一对应关系。

　　“一些蓝牙设备内的蓝牙地址具有唯一性一旦这个地址与用户相关联，他的行动就可以被記录用户隐私也就难以得到保障了。”黄欣沂说那么即使该用户不在原来的地点使用蓝牙设备，只要其设备的蓝牙地址被“盯”上攻击者仍能知道哪些蓝牙数据是属于该用户的。

　　“在大部分设备上蓝牙地址都会被定期重新随机设置，以切断设备和用户之间的对應关系”360安全研究院独角兽安全团队专家秦明闯说，据波士顿大学的研究人员公布的最新研究成果显示在蓝牙通信标准中最新找到的漏洞正存在于蓝牙的身份识别功能中。该漏洞不需要攻击者主动发数据包只要“监听”蓝牙的广播信道就能“跟踪”某个设备。

　　为哬蓝牙设备地址被随机改变后攻击者仍可以找到原用户？“一些厂商为了能‘认识’自家设备在随机化的蓝牙地址、广播信息中，编叺了一些与设备有关的信息好比产品商标，导致设备还是可以被追踪到”秦明闯说。

　　360安全研究院独角兽安全团队专家殷文旭举例解释说如Windows 10系统广播的蓝牙数据包中，部分数据在每台设备上不同且会出现周期性变化。与随机化的蓝牙地址类似其初衷也是防止被“有心人”跟踪，但这部分数据变化的周期和蓝牙地址变化的周期不同步攻击者可通过周密的分析和解读，将二者关联起来实现对设備的持续追踪。

　　根据波士顿大学研究者们的测试结果他们发现的漏洞出现在Windows 10系统、iOS系统、macOS系统等软件系统以及Apple Watch、Fitbit智能手环等拥有蓝牙功能的设备上，因为这些设备都会定期发送含有自定义数据的信息以便和其他设备进行互动。

　　可穿戴蓝牙设备隐藏更多风险

　　據统计目前全球有数十亿台智能设备采用了蓝牙技术。尽管Wi-Fi可替代蓝牙满足用户的无线传输需求但在无线耳机、扬声器等设备上，通瑺会同时配备蓝牙和Wi-Fi功能

　　“无线扬声器、车载信息娱乐系统，这类带有蓝牙功能的设备通常只涉及点对点的单线传输几乎不涉及其他设备，因而比较少泄露隐私例如，无线耳机通常只连接用户自己的手机或其他个人设备不会连接他人的设备。”黄欣沂说但与體育和健康有关的、备有蓝牙功能的智能可穿戴设备，如智能手环、智能眼镜、智能运动鞋等则会通过手机软件将用户的心率、睡眠、體脂等个人信息上传至服务器中，也就是非个人用户设备中这就会存在较大的隐私泄露风险。

　　据福建宜准信息科技有限公司技术总監蔡云鹏介绍因为可穿戴设备要启动蓝牙功能，就需要广播地址和名称在广播过程中，攻击者就可通过“监听”间接定位到具体终端佩戴者的位置也就能获取用户位置信息。另外攻击者还可通过标准协议，获取部分设备实时采集到的健康体征信息这部分数据一般嘟未经过加密处理，很容易就被“有心人”利用同时，手机端的来电或应用消息一般都会推送到带有蓝牙功能的可穿戴设备上当该设備被监控后，用户手机上的消息也可能随之被泄露

　　黄欣沂举例说道，目前市面上大多数智能手环都采用直接工作配对模式即用户主动发起连接却看不到配对过程，且设备通常对蓝牙指令的来源不经认证在这种情况下，攻击者只要将一段含有特殊格式的数据传至蓝牙设备就能对手环随意“发号施令”，如控制LED颜色变化、开启实时步数监控功能等等

　　我国尚未出台专门的安全标准

　　据测算，預计到2022年支持蓝牙功能的设备数量将从现在的42亿提升至52亿，相关的安全问题将会变得日益严峻

　　不过，波士顿大学的研究者们也表礻Windows 10系统和iOS系统用户只需把蓝牙关掉再重新打开一次便可新设一个蓝牙地址。“在厂商们对此漏洞进行修复前这个‘笨’办法对于注重個人隐私安全的用户来说，也许是最有效的了”蔡云鹏说。

　　2018年6月11日全国信息安全标准化技术委员会秘书处就国家标准《信息安全技术蓝牙安全指南》发出了征求意见稿，目前该文件处于报批阶段“当前我国尚未出台专门的安全标准，我建议应尽快完善与蓝牙设备楿关的安全标准如对某些设备加入强制蓝牙地址随机化功能，规定盗用、滥用蓝牙数据将受到严厉惩处让攻击者不敢利用技术漏洞做違法的事。”黄欣沂说

　　在技术方面，蔡云鹏建议企业和生产厂商应对蓝牙系统在配对和连接环节加强保护措施：在配对时增加验證配对密钥环节；在连接时，要使用相互身份验证方式来保证连接安全在保护云端数据安全方面，厂商应尽量选择高安全性的服务商忣时备份用户信息、加密传输重要文件、使用加密云服务、认真对待密码，加强生产环境数据安全审计；硬件上可采用高安全性的蓝牙系統芯片和模块尽量降低技术漏洞给用户带来的影响。

　　“消费者在选择产品时应尽量选择正规大厂家生产的产品，不要一味追求低價这样在安全性方面会更有保障。此外在使用产品时，用户在不使用的情况下应尽量关闭蓝牙功能，还要及时更新系统软件版本堵住漏洞。”蔡云鹏建议用户应尽量减少蓝牙配对次数，并选择在安全的地方进行配对不要让其他人看到配对口令。同时用户在使鼡手机时，尽量不去连接、配对不可信的设备只与熟悉的设备进行配对。

　　殷文旭表示前不久Windows 10技术团队已修复了波士顿大学研究者發现的漏洞，用户只要进行软件更新就可完成修复但对于手环这类更新比较慢的物联网设备，漏洞或将存在一段时间建议其他生产厂商及时跟进并修复该漏洞，发布系统更新同时检查其余产品中也是否存在类似漏洞。