藍牙被曝存在安全漏洞 可跟蹤用戶設備

據外媒報道，研究人員稱，藍牙通信協議中的一個漏洞可能會使現代設備用戶被跟蹤并泄露設備ID。

盡管本地操作系統保護開啟，但該漏洞仍可用于監(jiān)視用戶。漏洞影響Windows 10、iOS和macOS的藍牙設備，其中包括iPhone、iPad、Apple Watch、MacBook以及Microsoft平板電腦和筆記本電腦。

美國波士頓大學的研究人員David Starobinski和Johannes Becker在瑞典斯德哥爾摩舉行的第19屆隱私增強技術研討會（the 19th Privacy Enhancing Technologies Symposium）上介紹了他們的研究成果。

根據其研究論文《跟蹤匿名藍牙設備》（Tracking AnonymizedBluetooth Devices），許多藍牙設備使用MAC地址以防止長期跟蹤，但該團隊發(fā)現漏洞可以繞過隨機化地址，一直監(jiān)控特定設備。

識別令牌通常與MAC地址一起使用，波士頓大學開發(fā)的一種稱為地址攜帶算法的新算法能夠利用有效載荷的異步特性和地址變化來實現超出設備地址隨機化的跟蹤。該算法不需要解密消息或以任何方式破壞藍牙的安全性。

研究人員稱，大多數計算機和智能手機操作系統都會默認實施地址隨機化，以防止被長期跟蹤。但是，他們發(fā)現運行Windows 10、iOS或macOS的設備會定期發(fā)送包含自定義數據結構的廣告，這些結構用于啟用與BLE范圍內其他設備的特定平臺的交互。這種技術適用于Windows、iOS和macOS系統，但Android操作系統不受影響。

預計2019年至2022年間藍牙的使用量將從42億增加到52億，建立防跟蹤方法是研究人員未來的研究重點。