賽門鐵克提出藍芽安全警告

賽門鐵克提出藍芽安全警告

隨著藍芽迅速成為行動設備上的標準功能,使用者需要注意相關的安全問題,並懂得自我保護。

根據InsightExpress進行的一項研究表明,73%的行動設備使用者不知道藍芽安全問題會使手機、筆記型電腦等行動設備受到安全攻擊。對於這些用戶而言,『bluejacking、bluesnarfing、bluebugging』這些辭彙都很陌生。

賽門鐵克新加坡公司的高級安全顧問Ooi Szu-Khiam在接受電子郵件採訪時說,其他還有許多發動拒絕服務攻擊(DoS)的方法,攻擊者甚至能夠竊聽私人通話。Ooi指出,在過去的一年中出現了大量的手機病毒、蠕蟲及特洛伊木馬問題。

Ooi表示,儘管尚未產生如PC惡意程式般的嚴重損害,但其發展之速度讓人憂慮。

Bluejacking也被稱作是bluespamming,是一種透過藍芽發送匿名簡訊的技術。開啟藍芽的手機能夠藉由搜索並發送簡訊到其他藍芽手機,Ooi解釋。

儘管取名為Bluejacking,但攻擊者無法真的綁架手機或竊取其內資料,僅能發送簡訊,如同垃圾郵件一般,受信方可以忽略、回應或刪除這些不請自來的訊息。儘管Bluejacking會帶來大量惱人的垃圾簡訊,但只能算是一種很小的安全威脅。

但是,Bluesnarfing卻是一種更危險的技術,駭客能夠在使用者不知情下竊取儲存在行動設備上的資訊,Ooi說。

此技術利用了一些舊版藍芽手機中的安全漏洞,使駭客能夠在用戶不知情下存取或者複製其資料。Ooi指出,只要在藍芽傳輸距離內,攻擊者甚至可以在對方藍芽設備處於隱藏狀態(non-discovery)之下進行連接。儲存在手機上的任何重要資訊包括通訊錄、行事曆、電子郵件及簡訊,都有可能被竊取。

第三種威脅也可能是最為危險的就是bluebugging。此技術使駭客能夠在用戶不知情下利用藍芽技術存取手機的指令。Ooi解釋道,這個漏洞允許駭客撥打電話、讀寫通訊錄、竊聽電話、連接網際網路。與所有藍芽攻擊相同,駭客與目標手機的距離不能超過10公尺,但之前bluesnarfing只能讓駭客存取手機上儲存的個人資料,而bluebugging則能完全夠控制藍芽手機。

為了確保藍芽設備的安全,用戶可以建置各種手機安全產品,包括防毒、防火牆、反垃圾簡訊及資料加密技術。Ooi說,這種多層的安全控管不僅能夠減輕手機的風險,同時使公司能夠更便利而經濟地符合內外安全政策。(編輯:資安之眼)

最後Ooi提供了藍芽手機使用者4個小提示:

  • 不需要時關閉藍芽
  • 保持隱藏狀態
  • 查核輸入的訊息
  • 使用密碼