像大多数无线技术一样，蓝牙通信容易受到各种安全威胁。小型智能终端可能存在安全漏洞，也可能有蓝牙耳机，只是我们不够重视。

颜胡爱芝

北京理工大学计算机网络对抗研究所所长

你每天戴的蓝牙耳机可能会被定位追踪？

近日有报道称，部分蓝牙耳机存在安全漏洞，可以被不法分子快速植入具有定位功能的代码，从而实现远程追踪甚至监控。这个话题迅速登上微博热搜榜，很多网友惊呼:我身边潜伏着一个“隐形间谍”。那么，“蓝牙耳机当定位器和监听器”是危言耸听，还是真的？科技日报记者就此采访了北京理工大学计算机网络对抗研究所所长严。

技术漏洞已经被忽视很久了

“从技术角度来说，蓝牙耳机确实存在被监听、定位、追踪的可能性。”颜介绍，所谓蓝牙耳机通常是指采用蓝牙技术的无线耳机。自1994年蓝牙技术发明以来，经过近30年的发展，目前已经演进到第五代——蓝牙5时代。

“从蓝牙通信的原理来看，蓝牙设备通常包括一个蓝牙模块和支持连接的蓝牙无线电和软件。蓝牙设备需要配对才能实现通信功能。”颜胡爱芝说，设备之间的通信是在基于蓝牙技术连接的短距离临时网络(微微网)中进行的，通常支持两到八个设备进行连接。

蓝牙耳机将蓝牙技术应用于免提耳机，用户可以避免耳机有线连接带来的不便和麻烦，从而实现更轻松舒适的通话。

长期以来，人们在享受蓝牙耳机等蓝牙设备带来的便利的同时，往往忽视了蓝牙设备的安全性。"像大多数无线技术一样，蓝牙通信容易受到各种安全威胁."颜胡爱芝解释说，这是因为蓝牙设备包含各种芯片组、操作系统和物理设备配置，包括大量的安全编程接口和默认设置。麻雀虽小五脏俱全，一些蓝牙设备的内部复杂程度不亚于一个小型智能终端。

“小型智能终端可能存在安全漏洞，蓝牙耳机也可能存在，只是我们不够重视。”颜对说道。

比如蓝牙耳机第一次配对时，用户需要用PIN码(个人识别号)进行验证，PIN码通常由4到6位数字组成。验证时，蓝牙耳机会自动使用自己的加密算法对代码进行加密，然后传输到目标设备进行身份认证。在这个过程中，攻击者可能会截获蓝牙通信包，然后伪装成目标设备进行连接，或者使用暴力攻击破解PIN码，进而突破蓝牙耳机系统。

此外，当蓝牙耳机等待配对时，攻击者可能会趁机扫描耳机并配对，然后轻松植入恶意代码。

攻击者利用漏洞或通信劫持手段攻破蓝牙耳机系统后，可以快速植入能够实现监听或定位功能的恶意代码，然后通过近距离监听服务或利用相关设备获取蓝牙耳机的位置信息，从而实现对蓝牙耳机的监听或定位跟踪。如果攻击者利用网络传播位置信息，他们甚至可以实现任何远距离的位置跟踪。

多管齐下给耳机戴上“安全盾”

如果蓝牙耳机变成隐藏的“追踪器”或“监听器”，我们的个人信息就会被不法分子掌握，主人的财产和人身安全就会受到威胁。

那么，我们如何为蓝牙耳机竖起一道安全屏障呢？

“从根本上来说，应该从技术层面防范蓝牙耳机攻击。蓝牙耳机和手机系统开发者需要进一步提高蓝牙耳机通信所涉及的相关硬件、软件和协议的安全级别，从而增加蓝牙耳机攻击成功的难度。”颜对说道。

从管理上看，我国已于今年11月1日实施个人信息保护法，通过蓝牙耳机等方式窃取个人隐私信息甚至造成严重后果的。如果涉嫌违反相关法律，就要从法律法规层面加大对攻击者的威慑和惩罚力度。

颜建议，在具体操作中，普通消费者应具备基本的安全意识，充分了解使用蓝牙耳机可能带来的安全影响，并在日常应用中注意以下事项:

尽量在安全区域配对蓝牙耳机，不要频繁配对蓝牙；仅在必要时启用蓝牙耳机，并尽量将蓝牙耳机的功率设置到可用的最低，缩短连接设备之间的距离，尽量减少语音通话的时长；配对蓝牙耳机时，请务必验证并确认正在配对的设备。如果出现意外提示，不要输入密码。及时从默认配对设备列表中删除丢失、被盗或未使用的设备；除非需要配对，否则蓝牙耳机默认设置为不被发现，并保持不被发现。(陈)据

来源:科技日报