关于蓝牙有很多神话和误解。自1989年以来，它经历了多次迭代，当时存在的许多问题现在都无关紧要了。

但每一次新的迭代都有可能出现新的安全漏洞和漏洞，因此认为蓝牙现在是安全的是错误的。不是的。

我们不建议完全放弃蓝牙。毕竟，它在很多方面都很有用。例如，蓝牙扬声器非常方便，蓝牙增加了移动连接，而且有许多好处可以利用。

我们的意思是你应该意识到风险。这就是在使用蓝牙时如何确保自己的安全。

1安全连接不够好

当Bluetooth2.1在2007年发布时，它引入了一个新的安全特性，称为安全简单配对（SSP）。任何使用Bluetooth 2.0或更早版本的设备都不支持SSP，因此是完全不安全的。也就是说，即使使用SSP的设备也不能保证安全。

事实证明，Bluetooth 2.1中使用的加密算法（与以前版本中使用的加密算法相同）本身是不安全的，导致Bluetooth 4.0中引入了一种新的加密算法（AES-CCM），但即使是这种算法也被证明存在可利用的缺陷，因为它没有包含SSP。

然后我们进入了蓝牙4.1时代，它为非LE蓝牙设备添加了一个称为安全连接的新功能，然后进入了蓝牙4.2时代，它为LE蓝牙设备添加了相同的功能。因此，从Bluetooth 4.2开始，所有较新的Bluetooth设备都支持SSP和AES-CCM加密。听起来不错，对吧？

不完全是。问题是在SSP的伞项下有四种不同的配对方法。。。

• 数值比较
• 只是有效
• 带外
• 密码项

……而且每种方法都有自己的缺陷：数字比较需要一个显示器（并非所有设备都有），而Just Works容易受到攻击和利用。带外通信需要单独的通道（并非所有设备都支持此功能），并且可以窃听密钥条目（至少在其当前状态下）。

哎呀。

你能做些什么？避免连接到使用旧版本蓝牙的设备（在撰写本文时，指的是4.2标准之前的任何设备）。同样，将所有蓝牙设备的固件升级到最新版本。如果这是不可能的，丢弃这些设备或使用在您自己的风险。

2许多攻击载体仍然存在

上面提到的安全漏洞并不是蓝牙设备唯一仍然存在的漏洞。事实上，以前版本的蓝牙中存在的许多攻击向量仍然存在——它们只是碰巧以不同的方式执行。

• 窃听——攻击者可以嗅到传输中蓝牙数据的空气，并利用适当的漏洞读取和/或监听这些数据。例如，如果你用蓝牙耳机在电话上交谈，可能会有人监听。
• Bluesnarfing——一旦设备配对，攻击者就可以访问并窃取蓝牙设备上的信息。这种连接通常是在你不知情的情况下建立的，可能会导致联系人信息、照片、视频、日历事件等被盗。
• Bluebugging——攻击者还可以远程控制设备的各个方面。可以发送呼出电话和文本，转发呼入电话和文本，更改设置，可以观看屏幕和按键等。
• 拒绝服务——攻击者可以用无意义的数据淹没你的设备，阻塞通信，耗尽电池寿命，甚至完全摧毁你的设备。

这些攻击可以影响任何积极使用蓝牙的设备，包括耳机、扬声器、键盘、鼠标，最重要的是智能**。

你能做些什么？如果您可以更改设备的蓝牙密码（可能在**、平板电脑、智能手表等上），请立即更改，确保您选择安全的PIN！这可以减轻一些攻击向量，但唯一保证的保护是保持蓝牙禁用。

顺便说一句，如果你对蓝牙有多不安全持怀疑态度，那就看看还有多少蓝牙漏洞存在吧！

三。即使藏起来，你也能被发现

蓝牙4.0中低能量传输的出现受到了广泛的欢迎，主要是因为它允许设备拥有更长的电池寿命。但是，与经典蓝牙相比，乐蓝牙同样不安全，甚至更不安全。

蓝牙的特点是，当蓝牙处于活动状态时，它会不断地广播信息，以便附近的设备可以被提醒它的存在。这就是为什么蓝牙在第一时间使用起来如此方便。

问题是，这个广播信息还包含单个设备特有的细节，包括一个称为通用唯一标识符（UUID）的东西。将其与接收信号强度指示器（RSSI）相结合，可以观察和跟踪设备的移动。

大多数人认为，将蓝牙设备设置为“无法发现”实际上使它隐藏在这种东西中，但这不是真的。正如ArsTechnica最近证明的，有一些开源工具可以嗅出您的信息，即使它是不可发现的。伊克斯。

My new neighbor was using AirDrop to move some files from his phone to his iMac. I hadn't introduced myself yet, but I already knew his name. Meanwhile, someone with a Pebble watch was walking past, and someone named "Johnny B" was idling at the stoplight at the corner in their Volkswagen Beetle, following directi*** from their Garmin Nuvi. Another person was using an Apple Pencil with their iPad at a nearby shop. And someone just turned on their Samsung **art television.I knew all this because each person advertised their presence wirelessly ... and I was running an open source tool called Blue Hydra.

你能做些什么？不幸的是，除了始终禁用蓝牙之外，什么都没有。一旦激活，您将向周围区域广播所有这些信息。

蓝牙可能不是未来

一个比蓝牙更安全的选择可能是Wi-Fi Direct，一种使用Wi-Fi的不同的短距离设备到设备连接。它还没有像蓝牙那样普及，但有可能普及。同样，Wi-Fi感知也应该在你的雷达上。

你有没有遇到过蓝牙的问题？这些风险是否足以让你不再使用它？还是像往常一样继续使用？请在评论中告诉我们！