短距离无线传输技术蓝牙(Bluetooth)又露出重大安全破绽，可能导致私密资料遭有心人士窃取。

　　本周三在温哥华举行的CanSecWest安全会议上，数字安全公司@Stake的研究员OllieWhitehouse指出，蓝牙1.2技术新发现的安全弱点与处理识别符号(identifier)的方式有关。此识别符号或称PIN，用来保护数据的安全。

　　分析这种规格后得知，此识别符号有办法破解。Whitehouse说，破解方法是使用特制的硬件，在蓝牙装置第一次彼此互传资料时，攫取某些资料。一旦收集到这些资料，有心人士即可窃听手机通话、在资料与计算机同步化时窃取个人资料，或者把甲装置传到乙装置的信号加以仿冒。

　　“蓝牙的使用者，若用的是短PIN，装置上的资料会外泄，”Whitehouse说：“而且，若大量使用蓝牙装置到处走，可能被深谙安全技术的人跟踪。”

　　这是蓝牙技术最新暴露出的安全问题。先前的攻击曾被冠以多彩多姿的名称，例如“红獠牙”(Redfang)，可让隐藏式的蓝牙装置无所遁形。又如“Bluestumbling”或“Bluesnarfing”，让骇客利用某些厂牌手机的安全防护漏洞攫取资料。

　　所制手机可能受Bluestumbling攻击影响的诺基亚(Nokia)22日宣布，会提供更新信息，以解决新发现的安全问题.

　　蓝牙是一种短距无线网络技术，让诸如手机、掌上型计算机等可携式装置互传资料，传输速率可达每秒720k.这种技术的安装率高，但安全警报频传，令人失望。

　　“规格已修改了三次，”Whitehouse说。他估计，可能有多达4，000万台装置已采用蓝牙1.2版或更早的版本。“我认为，未来三年，这种攻击可能大行其道。”

　　@Stake建议金融公司的交易员切莫在证券交易所的交易厅使用蓝牙头戴式耳机。

　　所幸，要发动21日曝光的这种安全漏洞攻击，并非易事，而且代价高昂。@Stake发现，骇客必须能够监听到两个蓝牙装置最原始的通讯，称为“bonding”，据此收集到基本的信息，才能够掌握充分的资料以破解PIN的密码，Whitehouse说。

　　他指出，破解密码所需时间视使用者采用的字码数目而定。六码的PIN可在十秒左右破解，16码的PIN则需要100万天才破解得了。许多蓝牙耳机只用4码PIN，不到一秒就能破解。

　　但英国安全代管公司TheBunker技术人员BenLaurie说，要发动这种攻击，不是普通骇客就办得到，“不能光靠普通的蓝牙卡，必须使用相当庞大的器材”。

　　这种特殊设备的价格可能超过1.5万美元，Whitehouse说，但某些可程序化的无线卡不到1，000美元，即可改装为蓝牙监听器材，骇客用心研究一番即可办到。

　　他说，这便是蓝牙安全漏洞的一大后遗症：可能让骇客和警察用平价的电子装置任意窃听他人的私密信息。而除了废除蓝牙功能外，使用者无法摆脱跟踪。