賽門鐵克的一名官員表示,隨著藍牙迅速成為攜帶型設備上的一項標準功能,用戶需要當心與這一技術相關的安全缺陷。
InsightExpress進行的一項研究表明,73%的攜帶型設備用戶不知道藍牙安全問題會使手機、筆記本電腦等攜帶型設備受到安全攻擊。對於這些用戶而言,“bluejacking”、“bluesnarfing”、“bluebugging”這些詞彙都很陌生。
賽門鐵克新加坡公司的高級安全顧問Ooi Szu-Khiam在接受電子郵件採訪時說,還有許多發動拒絕服務攻擊(DoS)的其他方法,駭客甚至能夠發動攻擊竊聽私人通話。Ooi指出,在過去的一年中出現了大量的手機病毒、蠕蟲、特洛伊木馬病毒實例。Ooi表示,儘管沒有象其他危害性較大的PC病毒那樣造成很大的危害,但手機惡意件的迅速發展也是一個需要擔憂的理由。
Ooi解釋說,Bluejacking也被稱作是bluespamming,是一種通過藍牙向手機用戶發送匿名短信的技術。支援藍牙技術的手機能夠搜索到通過藍牙技術接收短信的手機。Bluejacking攻擊不會劫持用戶的攜帶型設備或竊取資訊,而只是發送與垃圾郵件相似的短信。接受用戶可以忽略“非主動請求”的資訊,讀取資訊,回應資訊,或者刪除這些資訊。儘管Bluejacking會帶來大量的垃圾短信,但只是一種很小的安全威脅。
Ooi表示,但是,Bluesnarfing卻是一種更危險的技術,它使駭客能夠在用戶不知情的情況下竊取存儲在攜帶型設備上的資訊。Ooi說,這一技術利用了一些老版本藍牙手機中的一個安全缺陷,使駭客能夠在用戶不知情的情況下訪問或者拷貝用戶的資料。Ooi指出,即使用戶使自己的藍牙設備處於“隱匿”狀態,駭客也可以利用這一技術連接它們。在bluesnarfing攻擊中,存儲在手機上的任何重要資訊━━例如地址簿、日程表、電子郵件、短信,都有可能被竊取。
第三種威脅━━可能是這三種攻擊中最為危險的,是bluebugging。這一技術使駭客能夠在用戶不知情的情況下利用藍牙訪問手機的命令。Ooi解釋說,該缺陷使駭客能夠撥打電話、讀寫地址簿、竊聽電話、連接互聯網。與所有攻擊一樣,駭客與目標手機的距離不能超過10米。他說,與bluesnarfing只能讓駭客訪問手機上存儲的個人資料不同,bluebugging使用戶能夠控制藍牙手機。
Ooi指出,為了確保藍牙設備的安全,用戶可以使用手機安全產品━━其中包括反病毒、防火牆、反垃圾短信、數據加密技術。Ooi說,這種分層次的的安全不僅僅能夠減輕手機的安全風險,而且使公司能夠更方便和經濟地遵守內部的安全政策和外部的監管要求。
Ooi給出了手機用戶保護藍牙手機安全的4個小貼士:關閉不必要的藍牙功能、使手機處於隱身狀態、驗證接受的信號、使用密碼。(責任編輯:崔平)
