作 者:刘彦青
赛门铁克的一名官员表示,随着蓝牙迅速成为便携式设备上的一项标准功能,用户需要当心与这一技术相关的安全缺陷。
InsightExpress进行的一项研究表明,73%的便携式设备用户不知道蓝牙安全问题会使手机、笔记本电脑等便携式设备受到安全攻击。
对于这些用户而言,“bluejacking”、“bluesnarfing”、“bluebugging”这些词汇都很陌生。
赛门铁克新加坡公司的高级安全顾问OoiSzu-Khiam在接受电子邮件采访时说,还有许多发动拒绝服务攻击(DoS)的其它方法,黑客甚至能够发动攻击窃听私人通话。Ooi指出,在过去的一年中出现了大量的手机病毒、蠕虫、特洛伊木马病毒实例。Ooi表示,尽管没有象其它危害性较大的PC病毒那样造成很大的危害,但手机恶意件的迅速发展也是一个需要担忧的理由。
Ooi解释说,Bluejacking也被称作是bluespamming,是一种通过蓝牙向手机用户发送匿名短信的技术。支持蓝牙技术的手机能够搜索到通过蓝牙技术接收短信的手机。Bluejacking攻击不会劫持用户的便携式设备或窃取信息,而只是发送与垃圾邮件相似的短信。接受用户可以忽略“非主动请求”的信息,读取信息,回应信息,或者删除这些信息。尽管Bluejacking会带来大量的垃圾短信,但只是一种很小的安全威胁。
Ooi表示,但是,Bluesnarfing却是一种更危险的技术,它使黑客能够在用户不知情的情况下窃取存储在便携式设备上的信息。Ooi说,这一技术利用了一些老版本蓝牙手机中的一个安全缺陷,使黑客能够在用户不知情的情况下访问或者拷贝用户的资料。Ooi指出,即使用户使自己的蓝牙设备处于“隐匿”状态,黑客也可以利用这一技术连接它们。在bluesnarfing攻击中,存储在手机上的任何重要信息━━例如地址簿、日程表、电子邮件、短信,都有可能被窃取。
第三种威胁━━可能是这三种攻击中最为危险的,是bluebugging。这一技术使黑客能够在用户不知情的情况下利用蓝牙访问手机的命令。Ooi解释说,该缺陷使黑客能够拨打电话、读写地址簿、窃听电话、连接互联网。与所有攻击一样,黑客与目标手机的距离不能超过10米。他说,与bluesnarfing只能让黑客访问手机上存储的个人资料不同,bluebugging使用户能够控制蓝牙手机。
Ooi指出,为了确保蓝牙设备的安全,用户可以使用手机安全产品━━其中包括反病毒、防火墙、反垃圾短信、数据加密技术。Ooi说,这种分层次的的安全不仅仅能够减轻手机的安全风险,而且使公司能够更方便和经济地遵守内部的安全政策和外部的监管要求。
Ooi给出了手机用户保护蓝牙手机安全的4个小贴士:关闭不必要的蓝牙功能、使手机处于隐身状态、验证接受的信号、使用密码。