与大多数无线技术一样，蓝牙通信也容易受到各种安全威胁。小型智能终端可能存在的安全漏洞，蓝牙耳机也可能存在，但我们对它的重要性不足。

扬怀吉

北京理工大学计算机网络对抗研究所所长

每天戴的蓝牙耳机能接受定位吗？

最近有报道称，部分蓝牙耳机存在安全漏洞，可以快速移植被不法分子定位功能的代码，进行远程跟踪和监听。这个话题很快登上了微博热榜，很多网友高呼自己身边潜伏着“隐身间谍”。那么，“蓝牙耳机定位器、监听器”是有威胁的，还是确实有这种事？《科学技术日报》记者为此采访了北京理工大学计算机网络对抗研究所所长严怀志。

技术漏洞问题长期被忽视

"技术上，蓝牙耳机有可能被监听和跟踪."蓝牙耳机是指使用蓝牙技术的无线耳机。蓝牙技术自1994年发明以来，经过近30年的发展，现已进化到第五代3354蓝牙5时代。

“从蓝牙通信原理来看，蓝牙设备通常包括支持蓝牙模块和连接的蓝牙无线电和软件。蓝牙设备在实现通信功能之前必须配对。”颜怀志说，设备之间的通信是在基于蓝牙技术连接的短距离临时网络(微网络)上进行的，通常可以支持2至8台设备实施连接。

蓝牙耳机通过将蓝牙技术应用于不带耳机的耳机，用户可以消除耳机电缆连接带来的不便和烦恼，从而更容易通话。

长期以来，人们在快速方便地享受蓝牙耳机等蓝牙设备的同时，忽略了蓝牙设备的安全问题。“与大多数无线技术一样，蓝牙通信也容易受到各种安全威胁。”解释说，蓝牙设备包含多种芯片组、操作系统和物理设备配置，其中包括许多安全编程接口、首选项等，因此麻雀虽小，但五脏俱全，部分蓝牙设备内部的复杂性不亚于小型智能终端。

“小型智能终端可能存在的安全漏洞，蓝牙耳机也可能存在，但我们对其重要性不足。”严怀志说。

例如，蓝牙耳机首次配对时必须使用PIN码(个人标识号)认证。PIN代码通常由4到6位数字组成。验证时，蓝牙耳机使用自己的加密算法自动加密代码，然后将其发送到大象设备进行验证。在此过程中，攻击者可以拦截蓝牙通信数据包，伪装成大象设备进行连接，或者侵入PIN码，侵入蓝牙耳机系统。

另外，攻击者只要有机会在蓝牙耳机等待配对时扫描耳机进行配对，就可以轻松移植恶意代码。

攻击者通过蓝牙耳机漏洞或通信劫持等方式突破蓝牙耳机系统后，可以快速植入提供接收或定位功能的恶意代码，然后通过近距离接收服务或利用相关设备近距离获取蓝牙耳机的位置信息。可以实现对蓝牙耳机的监听或定位。如果攻击者使用网络传播位置信息，还可以进行远距离位置跟踪。

耳机上戴着“安全盾牌”

如果蓝牙耳机变成隐藏的“追踪器”、“监听器”，我们的个人信息将被不法分子掌握，机器的财产和人身安全都将受到威胁。

那么，如何在蓝牙耳机上设置安全屏障呢？

“基本上，必须从技术上防止蓝牙耳机攻击。蓝牙耳机和手机系统开发人员需要进一步提高与蓝牙耳机通信相关的相关硬件、软件和协议的安全级别。因此，可以提高蓝牙耳机攻击的成功难度。”严怀志说。

从管理上看，我国于11月1日实施了《个人信息保护法》，通过蓝牙耳机等窃取个人隐私信息，造成严重后果，涉嫌违反相关法律，从法律规定的角度来看，必须加强对攻击者的威慑和违法惩戒力度。

颜怀志建议，在特定操作中，普通消费者具有基本的安全意识，充分理解使用蓝牙耳机可能产生的安全影响，在日常应用中应注意以下几点：

尽可能在安全的地区进行蓝牙耳机配对，不要经常进行蓝牙配对。只有在必要时才启用蓝牙耳机，将蓝牙耳机功率设置为最低，减少连接设备之间的距离，并将语音通话时间降至最低。蓝牙耳机配对时，必须始终验证和确认配对的设备，如果出现意外消息，请不要输入密码。及时从基本配对设备列表中删除丢失、失窃或未使用的设备。除非需要配对，否则默认情况下，蓝牙耳机设置为“找不到”，并保持“找不到”状态。(陈熙)

资料来源：科学技术日报