藍牙(Bluetooth)通訊技術最近連環被揭發存在漏洞,例如較早前有安全專家指Bluetooth 4.0及5.0版本存在的「BLURtooth」漏洞,可讓黑客竄改兩部裝置配對時所產生的「跨傳輸埠金鑰」(Cross-Transport Key Derivation),強行與目標裝置進行配對,繼而入侵裝置。而最近被公佈的BLESA(Bluetooth Low Energy Spoofing Attack)漏洞的影響就更大,估計全球正有數以億計支援BLE制式的藍牙裝置,曝露於攻擊之中。 相對於傳統藍牙制式,BLE制式的特點在於耗電量低,適用於須長期保持連接的裝置使用,其中一個最常見的使用例子是現時商場安裝的室內定位器,只要顧客開啟商場的手機應用程式,就可即時掌握所在位置或附近店舖提供的購物優惠。由於這些定位器須長期啟動,而且安裝位置又未必有電源,所以BLE制式便最適合這些裝置採用。 這次由美國Purdue University研究團隊發現的BLESA漏洞,便專門針對在BLE制式下,兩部已進行配對的裝置在重新連接(Reconnection)時,有否進行身份驗證;結果發現,當兩部裝置因超出接收距離或訊號不良而斷線後,在重新連接的過程中不會強制進行身份驗證,可能只需符合相關條件(如裝置名稱、MAC address)便可reconnect。從示範影片可見,研究團隊以電腦假扮一個BLE制式指環,成功與已配對的手機進行連接,並向手機發送兩個互相矛盾的訊息。團隊續指無論是Linux、ios、Android的BLE制式均存在上述漏洞。雖然現時部分作業系統已進行修補,但由於這些BLE裝置大多不支援連線,要逐一拆下來安裝修補檔將會非常痛苦! 資料來源:https://zd.net/32LFdrP
Search Results: 藍牙 (31)
美國加州警方表示,最近汽車爆竊案嘅數字明顯大增,因為匪徒手上擁有一件「殺手級」武器——藍牙掃瞄器,只要喺你車旁邊掃一掃,就知你架車入面收埋咗啲乜嘢貴重電子產品,令匪徒能夠「快、狠、準」達成爆格任務,你話幾咁好用呢! 根據加州三藩市警方表示,汽車爆竊案件喺 2017 年明顯增加咗 24%,而嚟到 2019 年更係破盡過往紀錄。而加州警方口中所講嘅藍牙掃瞄器,其實只係一隻手機應用軟件,有免費同收費兩種選擇。不過小編摷過 App Store,就算免費版本,其實已經提供到足夠資訊,俾匪徒決定係咪出手。到底有乜嘢資訊會俾隻 app 掃到,首先就係藍牙訊號嘅強度,等匪徒大約估到件嘢到底放喺車廂邊個位置,其次就係通過對比藍牙產品資料庫內嘅「電子指紋」,隻 app 仲可以顯示埋車入面嘅電子產品型號,甚至有埋相你睇。有咗呢張咁齊全嘅 catalogue,匪徒就可以慢慢揀,避免敲爆車窗後只偷到一啲廉價嘅平板電腦、手機、notebook,大大提升每次爆格嘅效率同價值啦。 由於呢啲藍牙掃瞄 app 可以隨便喺 iOS App Store…
除咗 Wi-Fi,我諗日常用得最多嘅無線科技,一定係藍牙!揸車嘅一日到黑都用藍牙免提唔在話下,就算好似我呢啲無車一族,都好鍾意用支藍牙遙控自拍棍影下相,或者駁部手機去藍牙喇叭聽下歌,但係藍牙有樣好衰嘅嘢,就係每次配對都好鬼蹝時間,所以一旦配對好,大部分人都會keep住由佢繼續用,咁就好易出事! 點解咁講?你睇下近期嘅新聞就知原因,首先係上個月喺拉斯維加斯舉行嘅黑客大會 DEF CON,就有參加會議嘅黑客示範點樣可以入侵唔同款式嘅藍牙喇叭,然後遙控佢播放高頻音效,邊個唔好彩身處喇叭附近就有機會聽覺受損,所以大會俾所有與會人士嘅建議只得一個:熄咗藍牙佢! 另一單就再嚴重啲,有研究員發現藍牙原來存有漏洞,傳送嘅數據可以俾黑客截取同埋改動藍牙傳送緊嘅內容,即使係一啲早已成功配對嘅產品,都可以喺配對後入侵,都係嗰句,你唯一可以做嘅,就係熄咗藍牙佢! 夠驚嚇未?未算!幾星期前,有研究員示範點樣利用 Bluetooth Low Energy 嘅運作方式,透過 AirDrop 拎到你個電話號碼;另外《紐約時報》亦揭發好多店舖裝咗藍牙接收器,只要你部手機開著藍牙,喺顧客唔知嘅情況下追蹤佢哋嘅行蹤,仲將呢啲數據賣俾廣告商……林林總總多不勝數,如果你唔想成為以上事件嘅受害者,都係一句,熄咗藍牙就最穩陣啦! 資料來源:https://bit.ly/2HfZQkI
筆者不久前剛分享過,如何在地下水道及密閉空間實現「4S 管理」,以保障工人的安全。喜見有關當局早前迅速通過了《密閉空間工作守則》的修訂並刊憲,顯示了當局對相關問題之重視。 想睇更多專家見解?立即免費訂閱! 新修訂的細則中,要求東主或承建商在整段工作期間於密閉空間出入口拍攝視頻,以監督相關人員在執行和遵守安全控制措施的情況,並須保存視頻記錄。此外,更新增了詳細的危險評估表格範本、空氣監測警報設備的設定等要求,進一步強化了對工人安全的保障。 在空氣監測警報設備方面,筆者曾撰文分享方案。簡單來說,業界可善用移動電源的空氣傳感器和藍牙感應器等裝置,配以工人佩戴的智能手錶或頭盔,與智能中央管理系統連結,若出現異樣,系統即時發出警報,及時作出救援。 至於視頻監督設備方面,以下是一些業界在採購時應注意的事項和重點: 1.鏡頭設置:必須覆蓋整個出入口,避免出現監測盲點,有需要時於出入口設置 2 至 3 個鏡頭,以確保全境監測,故應選輕巧的裝置。同時,建議地下空間內亦需要裝置掛牆式的視像鏡頭,能清楚看到工人地下施工的情況,確保工人安全。 2.便攜性:因裝置可能需要經常移動,建議選用一些便攜的裝置,最好是簡單到能在三腳架上設置影像鏡頭,要輕身又易於移動,可由 1 至 2 個工人輕鬆搬動及設置。 3.電池耐用量:這些裝置往往需要長時間運作,故維護電源是工地的一大痛點。有些影像鏡頭裝置主打 All in One,集合了影像鏡頭、路由器、偵測器、警報器於一身,概念雖好,但耗電量大,且裝置體積偏大不利移動。…
智慧工地的「4S管理」(Smart Site Safety System)項目,除了上回提及的地下水道工程外,更可以實施於不同工地場景,如橋下空間的施工、工地機械移動、吊塔區域,以及很易被人忽視其危險性的堆填區等。筆者近期處理過不少這類安全項目,都利用了物聯網(IoT)、人工智能(AI)及大數據等科技,並以中央管理平台統一控制去改善工作環境,提高工地安全水平。 想睇更多專家見解?立即免費訂閱! 筆者印象特別深刻的是堆填區,最近曾前往視察,發現它除了環境惡劣、臭氣熏天外,另一個大問題是推土機、垃圾車等大型車輛在場內「暴走」,完全沒有固定的行駛路線,十分容易發生意外。 查看資料,去年在打鼓嶺堆填區就發生過悲劇,一名男工被垃圾車撞倒後困在車底及石塊之間,最終不治。而在美國佛羅里達州的堆填區,亦發生過有員工上流動廁所時遭推土機連人帶廁輾過壓死!因此我建議,堆填區管理機構應考慮在推土機和車輛上安裝藍牙網關,並在工人活動區域設置感應式標桿。當車輛或推土機接近標桿時,藍牙網關能即時感應並觸發警報,從而避免車輛或推土機誤入工人工作區域。 香港大大小小的行車天橋、大型橋樑多不勝數,橋下工程可謂日夜皆在進行。這類項目往往需要數十名工人同時作業,動輒上百人。在如此密集的作業環境下,一旦發生意外,工人很容易被困在施工區域內。因此,有需要實時監控工人的數量,確保他們在安全的區域內工作,並避免在非施工期間有工人被遺留或逗留。建議可以為工人配備智能手錶,這些手錶的定位及數據會統一連接到智能中央平台。一旦發生緊急情況,即可以通過多種渠道,如短訊、CMP、手機 App 等,向工人及工程管理人員發出警報,從而避免意外。這種模式在短期或即日的工程均適用,每日收工時再統一收回智能手錶即可。 至於建築地盤經常需要用到許多大型移動機械,如挖掘機、吊機等,都是安全隱患的重點。這些機械在運作時,如果工人不小心走入盲點位置,就很容易發生意外。解決這個問題,可以考慮使用藍牙方案。例如在移動的吊臂機械上安裝藍牙網關,並為工人配備智能監控手錶。藍牙網關會以 1 秒的頻率接收附近的藍牙設備信號,以此判斷工人與機械的距離。如果設備信號靠得太近,系統將會觸發警報。即使工人視線被遮擋,也能確保他們不會與移動機械距離過近。 在地盤和堆填區這樣的環境中實施智慧工地,當然有許多細節問題,例如維護電源的挑戰、智能影像辨識所涉及的數據儲存及保護等,但其實都不難解決,全部已有實用的方案。說到底,要把智能科技應用在工地上,並非甚麼複雜的編程,只要我們能夠將智能平台與所有硬件設備相連接,並進行統一管理,那麼在發生緊急情況時,系統就能及時發出警報,有效地保障工人的安全。 作者:思路富邦集團(SagaDigits)創辦人陳智銓(Arthur)欲觀看更多 Arthur 撰寫的文章,可按此瀏覽。
在香港這個建造業發達的城市,卻幾乎每個月都會發生致命的地盤意外事件。根據勞工處的統計數據,本港在 2023 年有 23 人在工業意外中喪生,其中 19 人是建造業工人。如何加強工地安全並保障工人的生命,可謂刻不容緩。當局已經加強罰則,着力提高建築業界的工地安全意識。而業界亦已積極推行智慧工地,即「4S 管理」(Smart Site Safety System),希望以科技幫助解決這個長期問題。 想睇更多專家見解?立即免費訂閱! 然而要實現智慧工地,是一項相當困難的任務。因為工地的結構往往十分複雜,涉及高架、地下挖掘、地下水道和密閉空間等不同工程及場景,而不平坦的地表更散佈着各種建築材料,要安裝人工智能科技並貼合不同工程的需求進行系統設置,絕不簡單。筆者近年經常就處理有關建築安全的項目,透過物聯網(IoT)、人工智能(AI)及大數據分析以改進工地的安全性及效率。當中,有很多先進的硬件可以採用,包括智能手錶、頭盔、標籤、鎖、空氣質量檢測儀、警報器等,但最大的挑戰是如何把這些智能硬件串連,並透過中央管理平台控制,以有效地做到數碼化追蹤、數碼化工作許可、危險區域進出管制、智能監控設備等各項功能。 分享近期一個地下水道工程項目的一點心得。地下水道的建設是城市發展不可或缺的,而當中有不少密閉的施工空間,諸如水泵房和地下室等。當工人深入地底或在密閉空間工作時,有機會面臨缺氧或吸入有毒氣體的危險。另一方面,一旦在地下水道發生意外,其環境的複雜性也大大增加救援的難度,救援人員往往需要花費大量時間才能找到受困工人的位置。 要在地下水道和密閉空間等項目實現「4S 管理」,必須考慮到其空間環璄的特殊情況,而科技設備的便攜性更是十分重要。在維護電源上,要用上智能標籤(Smart Tag)方案,一年無需充電也可無縫運作,可配合即插即用(Plug-n-Play)設定模式的裝置,以及可移動電源的空氣傳感器和藍牙感應器等裝置。 而當工人配戴智能手錶或智能頭盔時,所有硬件設備與智能中央管理系統相結合,可監察施工區域工人人數,以及工人們的身體狀況等。當工人需要進入危險區域施工時,只需在應用程式提交申請,系統將即時處理;如果申請獲准,應用程式的二維碼將會更新。 工人在施工期間穿戴相關的配備裝置,智能設備將持續監測工人的健康指數,一旦發現問題(如工人的心率不正、缺氧、處於昏迷狀態,或檢測到空氣質素出現異樣),不用工人發出求救,系統已可即時透過簡訊或手機 App…
早前瑞士傳媒 Aargauer Zeitung 刊登一份報道,指有 300 萬智能牙刷遭黑客入侵,向一間瑞士公司發動 DDoS 攻擊,導致該公司的網站癱瘓近四小時,並稱消息引述自網絡安全公司 Fortinet 的研究員。報道隨即被其他傳媒及網民瘋狂轉載,不過,Fortinet 稍後否認是真實事件,只是員工在接受訪問時作出的假設,難道這次全民炒車? 想知最新科技新聞?立即免費訂閱! 「攻擊」事件引來多間傳媒轉載 事發在今年一月尾,瑞士傳媒 Aargauer Zeitung 在網站上刊登了一篇「牙刷攻擊」的報道,內容是引述由 Fortinet 研究員提供的 IoT…
早前北京市司法局宣布,成功破解 Apple 的 AirDrop 無線轉送加密技術,可以透過比對自製的彩虹表,識別出由發送訊息或圖像的裝置的個人私隱資料,即用家的電話號碼、登記的 Apple ID 電郵地址,似乎在警告市民不要以為可以匿名散發不實或危害國家的訊息。不過,有網民就質疑這張彩虹表並非解密技術,只是一張大型的國民私隱資料對照表。 想知最新科技新聞?立即免費訂閱 ! 外界曾估計 AirDrop 受中國政府施壓 AirDrop 是 Apple 在 iOS 7 開始提供的無線訊息及檔案傳輸技術,由於可以由藍牙及…
2023 年網絡安全事故第一位,相信都要數 MOVEit Transfer 檔案共享服務遭入侵事件,安全專家指勒索軟件集團 Clop 於服務中發現零日漏洞,可以使用 SQL injection 技術遙距執行惡意編碼,提升帳戶特權任意讀取使用該服務的客戶資料。雖然開發商 Ipswitch 很快已推出修補檔,但不少客戶如英國航空、BBC 及 Boots 均表示已遭受入侵,有專家更估計已有 2706 個機構遭受牽連,至少有 9300 萬個人資料外洩。 想知最新科技新聞?立即免費訂閱…
有統計顯示,2023年全球約有 150億部IoT(物聯網)裝置,更預計到 2030 年數字將會翻倍。事實上,隨著全球企業開展數碼轉型,過程中須依賴相關裝置收集有價值數據,可以預期 IoT裝置 的投入量將會愈來愈多,TechOps 安全的重要性將會與日俱增。DICT數智通訊服務供應商中信國際電訊 CPC(以下簡稱 CPC)早前便舉辦了「Embracing Intelligence Operations:Secure TechOps for Realizing Forward-Thinking Business」活動,與嘉賓一起探討企業客戶在部署 IoT 裝置時最常引起的網絡安全問題及解救方法。 初創公司資源短缺 專業測試儀器助開發IoT裝置…