發現藍牙漏洞！可以跟蹤iPhone，iPad，Mac等

引述外媒報道，國外一網站已經發現了一個藍牙漏洞，可以讓黑客跟蹤各種設備 - 包括iPhone，iPad，Mac和Apple Watch。

其他易受攻擊的設備是運行Windows 10和Fitbit可穿戴設備的筆記本電腦和平板電腦。然而，Android設備沒有風險......

TNW報道了波士頓大學研究人員發現的漏洞。

波士頓大學（BU）的研究人員發現藍牙通信協議存在一個缺陷，可能會使大多數設備暴露於第三方跟蹤和泄漏可識別數據[...]

該漏洞允許攻擊者通過利用藍牙低功耗（BLE）實施方式中的缺陷來提取識別令牌，如設備類型或來自製造商的其他可識別數據，從而被動跟蹤設備[...]

為了使兩個設備之間的配對變得簡單，BLE使用公共非加密廣告渠道向其他附近設備宣布其存在。該協議最初引起了隱私問題，即在這些頻道上廣播設備的永久藍牙MAC地址 - 一個唯一的48位標識符。

但是，BLE嘗試通過讓設備製造商使用周期性變化的隨機地址而不是永久的媒體訪問控制（MAC）地址來解決問題。

BU研究人員發現的漏洞利用此輔助隨機MAC地址成功跟蹤設備。研究人員表示，廣告信息中存在的「識別令牌」對於設備來說也是唯一的，並且保持靜態足夠長的時間以用作除MAC地址之外的輔助標識符。

換句話說，可以將當前隨機地址鏈接到下一個隨機地址，從而將其識別為同一設備。然後可以無限期地跟蹤它 - 儘管只能在相對較短的藍牙信號範圍內進行跟蹤。

研究人員確實提出了安全問題的解決方案。

為了保護設備免受地址攜帶攻擊，研究人員建議設備實現應該將有效負載變化與MAC地址隨機化同步。

隨著藍牙設備的大規模應用，他們警告說「建立抗跟蹤方法，特別是在未加密的通信渠道上，是至關重要的。」

目前還不清楚Apple和受影響的其他公司是否能夠在無線更新中實現此更改，但與此同時，如果您擔心自己的設備被跟蹤，則有一個簡單的解決方法。

在系統設置（或macOS上的菜單欄）中關閉和打開藍牙將隨機化地址並更改有效負載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！