安全業者警告藍牙有安全風險

| | | | | | 留下回應

    

資安廠商McAfee今(12)日發表第二期安全展望期刊Sage，指出網路犯罪往行動裝置發展的趨勢，並強調行動裝置上普遍採用的藍牙科技之安全問題遭到忽視，將助長惡意程式的傳播，以及提高資訊外洩的風險。另家業者CA（組合國際）亦指出，在使用者缺乏安全意識下，具藍牙功能的手機、電腦，恐成釣魚駭客的新工具。

「許多使用者根本不曉得該如何安全使用藍牙科技，」McAfee安全專家撰寫的報告中點出了藍牙漏洞的根本原因。賽門鐵克技術總監王岳忠表示，由於藍牙傳輸需要先進行配對與密碼認證，在任何一方不同意配對的情況下，風險並不大，「但若透過社交工程手法，很可能讓使用者同意連結，漏洞就出現了，」他說。

而看似無害的裝置名稱，便很可能讓人上鉤。CA技術顧問林宏嘉便曾撰文點出此一問題，他在文中表示，曾在投宿飯店時，無意間誤擊申請呼叫連線至他人的藍牙手機，不知名的對方還意外同意連線，甚至讓他取得了簡訊、通聯記錄與電話簿等資料。林宏嘉認為，他為藍牙設備所取的名字「Free Bluetooth Mobile Connection Center（免費藍牙行動連線中心）」，看似無害，但卻降低了他人的戒心而同意連線，可見「利用藍牙釣魚已非不可能的事了，」他說。

而藍牙裝置的不安全設定也可能招來風險。McAfee技術經理林秉忠表示，許多藍牙手機預設為同意配對，無形中提高了手機上通訊錄等資料外洩的風險。而根據手機安全業者F-Secure在2006年Infosecurity展覽期間，於義大利米蘭不同地點進行為期七天，總掃瞄時間近23小時的測試中，發現了1405個設定為顯示(Visible)模式，亦即可提出配對要求的藍牙設備。

F-Secure在報告中指出，設定為Visible模式的藍牙裝置，比設為不顯示(Not Visible)的裝置提供病毒更多入侵的機會，若手機存在系統弱點，便可能招致安全威脅上身。

不過，資安專家強調，儘管藍牙可能存有漏動，但目前危害並不大。王岳忠解釋，目前已發現的手機病毒，多半仍屬概念驗證型(PoC)，尚未有嚴重災害傳出。他亦補充，藍牙無線訊號可傳輸的距離不長，僅數公尺，因藍牙而導致的安全威脅不至於大範圍擴散。 但McAfee的報告卻警告未來可能的藍牙攻擊(bluesnarfing)手法。舉例來說，新的手機端間諜程式，將可能使藍牙手機主動和附近具藍牙功能的電腦配對，進而竊取電腦中的資料，並透過郵件或簡訊將資料傳給駭客。

除了竊取資料，盜打電話也是可能的新攻擊手法。林秉忠表示，一種名為Bluebugging的手法，便是透過藍牙取得權限後，操控手機撥打特殊費率的電話，成為駭客賺取收入的方式。此外，利用藍牙散佈色情或垃圾訊息的Bluejacking、以及利用手機設計缺陷，將裝置名稱設為可執行的程式碼造成手機當機的Bluestabbing，也值得注意，他說。

雖說藍牙可能蘊藏重重安全問題，但安全專家表示有簡易的解決之道。林宏嘉表示，不要因好奇心同意藍牙裝置的配對要求。林秉忠則建議使用者檢視藍牙設備的設定，不要預設為同意配對。王岳忠則指出，除了藍牙，各種管道都可能存在社交工程伎倆，使用者應多加注意。