陳根:藍牙也能洩露隱私?無孔不入的黑客攻擊

2020-10-18 陳述根本

/陳根

據外媒AppleInsider報導,一個研究團隊披露了一個新的漏洞,可以讓攻擊者欺騙現代藍牙設備,使其與偽裝成受信任的惡意設備配對。這個安全漏洞被團隊稱為藍牙冒充攻擊(BIAS),影響了一系列使用藍牙的設備,包括iPhoneiPadMac

  

從本質上說,BIAS攻擊利用了藍牙設備如何處理長期連接的漏洞。當兩臺藍牙設備配對後,它們在一個「連結密鑰 」上達成一致,這樣它們就可以在不經過配對過程的情況下重新連接到對方。瑞士洛桑聯邦理工學院的研究人員發現,他們能夠在不知道這個連結密鑰的情況下,欺騙之前配對過的設備的藍牙地址來完成認證過程。
結合其他藍牙漏洞,如藍牙密鑰協商(KNOB),攻擊者可以破壞在安全認證模式下運行的設備。一旦BIAS攻擊成功,被攻擊的設備就可以被用來進行其他的利用,包括訪問通過藍牙發送的數據,甚至控制之前配對的設備所擁有的功能。
由於藍牙連接通常不需要用戶進行明確的交互,因此BIAS和KNOB攻擊也是隱蔽的,可以在用戶不知情的情況下進行。

      當然,這個攻擊具有自身的局限,這個缺陷只影響到藍牙基本速率/增強數據速率,也就是經典藍牙。但這仍然使相對較新的蘋果設備受到攻擊,包括iPhone 8及以上版本、2017年版 MacBook設備及以上版本、2018年的iPad機型及以上版本。

為了實施攻擊,不良行為者需要在易受攻擊設備的藍牙範圍內,並知道之前配對設備的藍牙地址。對於一個熟練的攻擊者來說,找到這些藍牙地址相對來說是件小事,即使是隨機的。
信息通信技術所帶來的數位化洪流,將人類社會推入以數據為生產資料的新時代。數據作為一種要素重要性日益凸顯,這也使越來越多的攻擊手段層出不窮。
數據風險是一項可預見的潛在風險,如何規避數據風險,除了加強自身對於數據的保護意識,還應該加大科技的建設,在數據的保護方面健全保護制度,在巨大的隱私透露的無力之前,我們應該有所準備,未雨綢繆。

相關焦點

  • 家庭活動變現場直播 攝像頭成洩露隱私「黑洞」
    麗水法院審理新型網絡「黑客」犯罪案家庭攝像頭被不法分子侵入專家建議  加大打擊力度堵住洩露隱私「黑洞」資料圖:浙江杭州一主人在家中放置可移動的監控攝像頭,記錄家中萌寵畫面。但一些攝像頭在傳輸數據時可能被不法分子侵入,導致隱私被洩露,甚至因此危及用戶人身財產安全。  「攝像頭的主要功能是攝製影像資料,若在公共場合併不會造成很大影響;但攝像頭應用在家裡或者其他私密空間,攝像頭被非法控制,就可能非法拍攝圖像和影像資料,不法分子可能利用這些資料進行勒索敲詐,獲取錢財;也可能把視頻資料上傳到網絡上,對個人隱私造成侵害,對個人的精神也會造成消極影響。」
  • 一次計算機「攻擊」,1500萬用戶「停跑」,到底什麼是「黑客」?
    不過,正所謂「槍打出頭鳥」,佳明公司竟然被「黑客組織」盯上了,成為攻擊的目標。據悉,攻擊佳明公司網絡的黑客來自俄羅斯,並且目的也很簡單,「勒索」,該黑客組織使用的病毒名為「WastedLocker」。個人隱私安全這些黑客,就是控制了佳明公司的用戶數據,去「勒索」佳明公司。
  • 成都確診女孩信息洩露背後:公眾知情權和個人隱私保護如何調和?
    在吳沈括看來,當今的網絡社會信息流傳快,但缺乏真實性和隱私性,在網絡匿名化的空間中,人們發表的言論更加自由化,同時人們發布、評論、轉發信息往往忽視其承擔的責任以及帶來的後果,網絡的連鎖式反應能將一個虛假的信息變成事實。人們沒有把重點放在如何解決危機的本質問題上,而是團結起來攻擊一個危機的受害者,這是逃避直面問題解決問題的表現。
  • 陳根:隱私保護之痛下,隱私計算將成數據價值釋放突破口
    文/陳根隨著雲計算、物聯網與大數據等技術的不斷發展,信息系統服務中針對用戶數據的收集整理加上數據的頻繁洩露,數據隱私安全成了時下亟待解決之痛。而現有的隱私保護主要從信息處理過程中的隱私保護、隱私度量與評估兩個方面入手。從信息處理過程中的隱私保護方法來看,主要分為訪問控制技術方法、信息混淆技術方法、密碼學技術方法三類。
  • IMF資料庫遭「黑客」攻擊 內含「敏感數據」
    一些信息一旦洩露 可能「在許多國家掀起政治風波」  據新華社電 美國媒體11日報導,國際貨幣基金組織(IMF)計算機系統過去數月遭遇「黑客」攻擊。這家機構多名高級管理人員說,攻擊「複雜、嚴重」。  國際貨幣基金組織發言人戴維·霍利拒絕公開黑客入侵更多細節,稱這一國際金融機構當前處於正常運行狀態。
  • 小米掃地機器竊聽器會被黑客利用? 雷射雷達是攻擊入口
    3oGEETC-電子工程專輯雷射雷達能夠獲取三維地理信息,這不僅能作軍事用途,相關數據也被廣泛用於資源勘探、城市規劃、農業開發、環境監測、交通通訊、防震減災等眾多方面。3oGEETC-電子工程專輯其英文全稱是 side channel attack,又稱邊信道攻擊。顧名思義,不同於常規的使用軟硬體手段暴力破解被攻擊對象的方法,側信道攻擊主要通過一些「旁門左道」進行攻擊,如加密電子設備運行過程中的時間消耗、功率消耗或電磁輻射。
  • 索尼公司遭遇黑客攻擊 《狂怒》等五部影片遭洩
    索尼公司遭到黑客攻擊據報導,在11月27日被黑客攻擊內網之後,索尼公司宣布旗下5部電影遭到了洩密,這五部電影分別是:《狂怒》、即將上映的《安妮》、坎城的獲獎片《透納先生》、《依然愛麗絲》以及《在她的臂彎寫下愛》(To Write Love on Her Arms)。 目前,洩密所造成的損失已經相當巨大了。
  • 被指控是美國遭大規模黑客攻擊的源頭,JetBrains 發表聲明否認
    最近,美國聯邦政府遭遇了史上最大規模的黑客入侵。美國國防部、國土安全部、商務部、財務部、能源部等至少六個部門被滲透長達數月。美國方面稱,造成大面積攻擊的黑客來自俄羅斯。當地時間周二,美國國家情報總監辦公室、聯邦調查局、國土安全部和國家安全局發表了一份聯合聲明,正式宣布俄羅斯極有可能是黑客攻擊的源頭。但聲明沒有提供細節,也沒有提到 JetBrains 軟體或俄羅斯情報機構。美國司法部稱,其電子郵件系統在 SolarWinds 黑客行動中遭到了入侵,這擴大了俄羅斯能夠滲透的政府電腦的範圍。
  • 黑客揭秘!騙子如何拿到你的卡號和密碼
    精妙的時間差你的信息是怎樣被洩露的呢?這個糟糕的習慣會造成難以挽回的惡果:原本只是你的網易郵箱帳號被盜,黑客通過撞庫,卻進入了你的 Apple ID 和淘寶帳號,進而獲得你的手機隱私、銀行卡號和家庭住址。通過對你發送釣魚郵件, 甚至可以獲得你的銀行卡密碼。簡單的郵箱洩露,卻藉由幾層跳板直達你的財務系統。
  • 家用攝像頭被「反監控」,黑客入侵事件頻發
    iWeekly近日,浙江溫州警方破獲了一起非法控制家用攝像頭案,數十萬隻家用攝像頭遭破解,用戶隱私慘遭洩露。無獨有偶,亞馬遜Ring安全攝像頭也最近被爆出存在設計缺陷、遭到黑客攻擊等大量醜聞。據《今日美國》報導,美國近一兩個月內有關Ring安全攝像頭遭黑客入侵事件至少有7起,3672個Ring安全攝像頭用戶的登錄信息遭遇洩露。佛羅裡達州,一名黑客在一對夫婦的廚房裡高喊侮辱性言論。黑客在得到了用戶的電子郵件和密碼之後,可以獲得用戶的家庭住址、電話號碼和付款信息,包括他們的銀行卡信息。可怕的是,入侵者還可以訪問Ring的實時攝像機錄像以及歷史記錄。
  • 美國中情局黑客攻擊中國關鍵領域,長達11年!
    360公司於3月3日宣布,通過該公司旗下「360安全大腦」的調查分析,發現美國中央情報局(CIA)的國家級黑客組織「APT-C-39(由360公司命名)」對中國進行了長達11年的網絡攻擊和滲透。美國媒體此前曾披露,作為CIA諸多重要黑客工具和網絡武器主要設計研發骨幹之一的約書亞·亞當·舒爾特,曾在2017年向維基解密提供了關鍵的「拷貝情報」,向全球披露8716份來自CIA網絡情報中心的文件,涵蓋CIA黑客部隊的攻擊手法、目標、工具的技術規範和要求,這一系列機密文件被稱為「Vault7(穹窿7)」項目。這次事件被列為「CIA歷史上最大一次機密國防情報洩露事件」。
  • 陳根:後疫情時代的隱私三問,我們交出的「信息」去了哪裡?
    文/陳根信息通信技術所帶來的數位化洪流,將人類社會推入以數據為生產資料的新時代。一些由街道運營的小程序,並未向用戶展示隱私政策,未逐一列出收集使用個人信息的目的、方式、範圍,在收集用戶詳細地址、出行信息時,也未同步告知用戶使用目的。
  • 美國氣象局四家網站遭黑客攻擊 目前已恢復服務
    中新網11月13日電據美國媒體12日報導,美國國家氣象局運營商12日表示,其四家網站近幾周遭到了黑客攻擊,這也是最新一處遭到網絡攻擊的聯邦機構。  據報導,美國國家海洋和大氣管理局(NOAA)發言人斯馬倫當天通報了該消息。
  • 科幻世界官網遭受不明黑客攻擊 疑似IS所為
    此次科幻世界網站被黑,究竟與IS有無關聯以及進行攻擊的目的暫時還不得而知。不過此前,IS疑似多次攻擊別國網站。 1月13日消息,據國外媒體報導,一個自稱來自「伊斯蘭國」(IS)的黑客組織CyberCaliphate,周一侵入並獲得了美國中央指揮部 (CENTCOM)的社交媒體帳戶。
  • 2020年全球數據洩露大事件盤點:數據「裸奔」 代價沉重
    4月22日丨多地數千高校學生隱私遭洩露4月24日丨浙江一家銀行洩露客戶信息被罰30萬4月27日丨B站知名UP主「黨妹」數百G視頻素材被盜5月6日丨中信銀行違法洩露脫口秀藝人個人隱私5月7日丨5000多萬條個人信息在「暗網」倒賣5月20日丨建設銀行員工販賣5萬多條客戶信息6月5日丨臺灣2000萬人個人信息在暗網洩露6月8日丨鄭州某民辦高校近兩萬名學生信息遭洩露6月20日丨蔡英文涉選舉機密規劃遭黑客攻擊外洩
  • 公安部:打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動...
    打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動取得階段性戰果4個月偵破案件1800餘起,抓獲犯罪嫌疑人4800餘名自今年3月公安部部署開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動以來,各地公安機關迅速行動、精心組織,不斷把專項行動推向深入,取得了階段性戰果
  • 怎樣防範黑客攻擊家庭路由器
    還記得以前我們曾經看過的一部叫做黑客帝國的電影嗎?或許有人認為黑客離我們很遙遠,其實不然。黑客無處不在,就在我們的身邊。近期有黑客利用家庭寬帶路由器默認口令密碼漏洞,將路由器DHCP伺服器推送的 DNS 地址篡改為 66.102.*.* 或 207.254.*.*。當我們訪問一些特定網站時,就有可能被轉到惡意仿冒網頁,造成信息洩露。
  • 對洩露個人隱私零容忍
    對洩露個人隱私零容忍 2021年01月16日 07:11:13來源:浙江在線見習記者 李嬌儼   浙江在線杭州1月15日訊 (見習記者 李嬌儼)記者從我省第六十一場新冠肺炎疫情防控工作新聞發布會上獲悉