蓝牙耳机、蓝牙手环、车载蓝牙……蓝牙技术自问世以来，不仅解决了许多数据传输方面的难题，同时也开启了无线生活的大门，得到各类智能设备的青睐。但这项技术为我们生活带来便利的同时，也带来一些安全隐患。

“商标”信息导致设备被跟踪

蓝牙设备与目标终端设备建立通信连接，需要一个“配对—连接—传输数据”的过程。在此过程中，蓝牙状态改变、搜索设备、绑定设备等信号，都是通过广播接收到的，攻击者可在无线网络中“监听”到蓝牙设备的广播信息。若能确定在一定范围内仅有一名用户，那攻击者在该范围内搜索到的蓝牙信号、蓝牙地址，就只会是该用户的，从而建立起蓝牙设备和用户之间的一一对应关系。

一些蓝牙设备内的蓝牙地址具有唯一性，一旦这个地址与用户相关联，他的行动就可以被记录，用户隐私也就难以得到保障了。即使该用户不在原来的地点使用蓝牙设备，只要其设备的蓝牙地址被“盯”上，攻击者仍能知道哪些蓝牙数据是属于该用户的。

据波士顿大学的研究人员公布的最新研究成果显示，在蓝牙通信标准中最新找到的漏洞正存在于蓝牙的身份识别功能中。该漏洞不需要攻击者主动发数据包，只要“监听”蓝牙的广播信道就能“跟踪”某个设备。

一些厂商为了能“认识”自家设备，在随机化的蓝牙地址、广播信息中，编入了一些与设备有关的信息，好比产品商标，导致设备还是可以被追踪到。

根据波士顿大学研究者们的测试结果，他们发现的漏洞出现在windows10系统、ios系统、macos系统等软件系统以及applewatch、fitbit智能手环等拥有蓝牙功能的设备上，因为这些设备都会定期发送含有自定义数据的信息，以便和其他设备进行互动。

可穿戴蓝牙设备隐藏更多风险

无线扬声器、车载信息娱乐系统等，这类带有蓝牙功能的设备通常只涉及点对点的单线传输，几乎不涉及其他设备，因而比较少泄露隐私。但与体育和健康有关的、备有蓝牙功能的智能可穿戴设备，如智能手环、智能眼镜、智能运动鞋等，则会通过手机软件将用户的心率、睡眠、体脂等个人信息上传至服务器中，也就是非个人用户设备中，这就会存在较大的隐私泄露风险。

可穿戴设备要启动蓝牙功能，就需要广播地址和名称，在广播过程中，攻击者就可通过“监听”间接定位到具体终端佩戴者的位置，也就能获取用户位置信息。另外，攻击者还可通过标准协议，获取部分设备实时采集到的健康体征信息，这部分数据一般都未经过加密处理，很容易就被“有心人”利用。同时，手机端的来电或应用消息一般都会推送到带有蓝牙功能的可穿戴设备上，当该设备被监控后，用户手机上的消息也可能随之被泄露。

目前市面上大多数智能手环都采用直接工作配对模式，即用户主动发起连接却看不到配对过程，且设备通常对蓝牙指令的来源不经认证。在这种情况下，攻击者只要将一段含有特殊格式的数据传至蓝牙设备，就能对手环随意“发号施令”，如控制led颜色变化、开启实时步数监控功能等等。

消费者应选择正规厂家的产品

波士顿大学的研究者们表示，windows10系统和ios系统用户只需把蓝牙关掉再重新打开一次便可新设一个蓝牙地址。在厂商们对此漏洞进行修复前，这个“笨”办法对于注重个人隐私安全的用户来说，也许是最有效的了。

消费者在选择产品时，应尽量选择正规大厂家生产的产品，不要一味追求低价，这样在安全性方面会更有保障。此外，在使用产品时，用户在不使用的情况下，应尽量关闭蓝牙功能，还要及时更新系统软件版本，堵住漏洞。用户应尽量减少蓝牙配对次数，并选择在安全的地方进行配对，不要让其他人看到配对口令。同时，用户在使用手机时，尽量不去连接、配对不可信的设备，只与熟悉的设备进行配对。 （据《科技日报》）