10月24日,GeekPwn 2021极棒之夜的舞台上,腾讯安全玄武实验室安全研究员黎烨、林修乐、戴戈演示了一项最新的安全研究发现:部分蓝牙耳机存在安全漏洞,可以被快速写入代码植入定位功能,通过算法记录行动轨迹,实现远程跟踪。
蓝牙耳机在日常生活越来越普遍,普及率仅次于手机。听音乐、语音通话、收听电台有声书等场景中,都离不开蓝牙耳机。如果蓝牙耳机的安全防线被攻破,波及的范围和造成的危害难以想象。一旦蓝牙耳机被植入定位功能“变身”跟踪器,被不法分子掌握行动轨迹,轻则泄漏个人的隐私信息,重则危害人身安全。
GeekPwn 2021的演示现场,安全研究员通过无接触式技术手段,在50米开外的地点,10分钟内改造主办方提供的一副蓝牙耳机,并植入代码。主办方佩戴该蓝牙耳机乘车前往目标地点后,研究员利用植入的代码,成功远程定位其位置。
国内顶尖白帽“大牛蛙”王琦表示,这是一种典型的把新的技术应用到旧的应用环境,它就可能会产生新的问题。这个研究在提醒我们,一个新技术诞生的时候,需要反过来逆向思考。这就是极客思维的一个价值,通过安全风险预演,未雨绸缪。
一个不起眼的智能硬件,往往因为被忽视了其安全性而存在安全漏洞。但在智能时代,一个漏洞引发的安全隐患不容忽视,它足以被不法分子利用,并严重危害个人安全。研究员将坚持严格的负责人信息披露原则,将技术信息提供给相关厂商和机构,并协助其修复缺陷,助力产业安全发展。