關於藍牙有很多神話和誤解。自1989年以來，它經歷了多次迭代，當時存在的許多問題現在都無關緊要了。

但每一次新的迭代都有可能出現新的安全漏洞和漏洞，因此認為藍牙現在是安全的是錯誤的。不是的。

我們不建議完全放棄藍牙。畢竟，它在很多方面都很有用。例如，藍牙揚聲器非常方便，藍牙增加了移動連接，而且有許多好處可以利用。

我們的意思是你應該意識到風險。這就是在使用藍牙時如何確保自己的安全。

1安全連接不夠好

當Bluetooth2.1在2007年發佈時，它引入了一個新的安全特性，稱為安全簡單配對（SSP）。任何使用Bluetooth 2.0或更早版本的設備都不支持SSP，因此是完全不安全的。也就是說，即使使用SSP的設備也不能保證安全。

事實證明，Bluetooth 2.1中使用的加密算法（與以前版本中使用的加密算法相同）本身是不安全的，導致Bluetooth 4.0中引入了一種新的加密算法（AES-CCM），但即使是這種算法也被證明存在可利用的缺陷，因為它沒有包含SSP。

然後我們進入了藍牙4.1時代，它為非LE藍牙設備添加了一個稱為安全連接的新功能，然後進入了藍牙4.2時代，它為LE藍牙設備添加了相同的功能。因此，從Bluetooth 4.2開始，所有較新的Bluetooth設備都支持SSP和AES-CCM加密。聽起來不錯，對吧？

不完全是。問題是在SSP的傘項下有四種不同的配對方法。。。

• 數值比較
• 只是有效
• 帶外
• 密碼項

……而且每種方法都有自己的缺陷：數字比較需要一個顯示器（並非所有設備都有），而Just Works容易受到攻擊和利用。帶外通信需要單獨的通道（並非所有設備都支持此功能），並且可以竊聽密鑰條目（至少在其當前狀態下）。

哎呀。

你能做些什麼？避免連接到使用舊版本藍牙的設備（在撰寫本文時，指的是4.2標準之前的任何設備）。同樣，將所有藍牙設備的固件升級到最新版本。如果這是不可能的，丟棄這些設備或使用在您自己的風險。

2許多攻擊載體仍然存在

上面提到的安全漏洞並不是藍牙設備唯一仍然存在的漏洞。事實上，以前版本的藍牙中存在的許多攻擊向量仍然存在——它們只是碰巧以不同的方式執行。

• 竊聽——攻擊者可以嗅到傳輸中藍牙數據的空氣，並利用適當的漏洞讀取和/或監聽這些數據。例如，如果你用藍牙耳機在電話上交談，可能會有人監聽。
• Bluesnarfing——一旦設備配對，攻擊者就可以訪問並竊取藍牙設備上的信息。這種連接通常是在你不知情的情況下建立的，可能會導致聯繫人信息、照片、視頻、日曆事件等被盜。
• Bluebugging——攻擊者還可以遠程控制設備的各個方面。可以發送呼出電話和文本，轉發呼入電話和文本，更改設置，可以觀看屏幕和按鍵等。
• 拒絕服務——攻擊者可以用無意義的數據淹沒你的設備，阻塞通信，耗盡電池壽命，甚至完全摧毀你的設備。

這些攻擊可以影響任何積極使用藍牙的設備，包括耳機、揚聲器、鍵盤、鼠標，最重要的是智能**。

你能做些什麼？如果您可以更改設備的藍牙密碼（可能在**、平板電腦、智能手錶等上），請立即更改，確保您選擇安全的PIN！這可以減輕一些攻擊向量，但唯一保證的保護是保持藍牙禁用。

順便說一句，如果你對藍牙有多不安全持懷疑態度，那就看看還有多少藍牙漏洞存在吧！

三。即使藏起來，你也能被發現

藍牙4.0中低能量傳輸的出現受到了廣泛的歡迎，主要是因為它允許設備擁有更長的電池壽命。但是，與經典藍牙相比，樂藍牙同樣不安全，甚至更不安全。

藍牙的特點是，當藍牙處於活動狀態時，它會不斷地廣播信息，以便附近的設備可以被提醒它的存在。這就是為什麼藍牙在第一時間使用起來如此方便。

問題是，這個廣播信息還包含單個設備特有的細節，包括一個稱為通用唯一標識符（UUID）的東西。將其與接收信號強度指示器（RSSI）相結合，可以觀察和跟蹤設備的移動。

大多數人認為，將藍牙設備設置為“無法發現”實際上使它隱藏在這種東西中，但這不是真的。正如ArsTechnica最近證明的，有一些開源工具可以嗅出您的信息，即使它是不可發現的。伊克斯。

My new neighbor was using AirDrop to move some files from his phone to his iMac. I hadn't introduced myself yet, but I already knew his name. Meanwhile, someone with a Pebble watch was walking past, and someone named "Johnny B" was idling at the stoplight at the corner in their Volkswagen Beetle, following directi*** from their Garmin Nuvi. Another person was using an Apple Pencil with their iPad at a nearby shop. And someone just turned on their Samsung **art television.I knew all this because each person advertised their presence wirelessly ... and I was running an open source tool called Blue Hydra.

你能做些什麼？不幸的是，除了始終禁用藍牙之外，什麼都沒有。一旦激活，您將向周圍區域廣播所有這些信息。

藍牙可能不是未來

一個比藍牙更安全的選擇可能是Wi-Fi Direct，一種使用Wi-Fi的不同的短距離設備到設備連接。它還沒有像藍牙那樣普及，但有可能普及。同樣，Wi-Fi感知也應該在你的雷達上。

你有沒有遇到過藍牙的問題？這些風險是否足以讓你不再使用它？還是像往常一樣繼續使用？請在評論中告訴我們！