最新研究发现,与蓝牙设备配合使用的移动应用程序具有一个固有的设计缺陷,使其容易受到黑客攻击。
俄亥俄州立大学计算机科学与工程学副教授林志强说,问题在于蓝牙低功耗设备(大多数现代小工具使用的一种蓝牙)与控制它们的移动应用进行通信的方式。Lin本周在计算机协会通信和计算机安全会议(ACM CCS 2019)上介绍了研究结果。
Lin说:“存在一个根本性缺陷,使这些设备容易受到攻击-首先是它们最初与移动应用程序配对时,然后是它们在运行时再次出现。” “尽管该漏洞的严重程度有所不同,但我们发现在与移动应用进行通信时,这是蓝牙低功耗设备之间的一个持续存在的问题。”
考虑可穿戴的健康和健身跟踪器,智能恒温器,智能扬声器或智能家庭助理。每个人都通过广播称为UUID的东西与您的移动设备上的应用进行通信,UUID是一种通用的唯一标识符。该标识符使您手机上的相应应用程序能够识别蓝牙设备,从而建立一种连接,使您的手机和设备可以相互通信。
但是该标识符本身也已嵌入到移动应用程序代码中。否则,移动应用将无法识别该设备。但是,Lin及其研究小组发现,移动应用中的此类UUID使设备容易受到指纹攻击。
“至少,黑客可以通过识别您的智能设备是否正在广播从相应的移动应用程序中识别出的特定UUID,来确定您的家中是否有特定的蓝牙设备,例如智能扬声器。” 。“但是在某些情况下,其中没有涉及加密或在移动应用程序和设备之间使用了不正确的加密,攻击者将能够'监听'您的对话并收集数据。”