系统检测到未授权蓝牙设备连接，如何排查安全隐患？

系统检测到未授权蓝牙设备连接：排查步骤与安全加固措施

1. 初步识别与现象确认

当系统检测到未授权蓝牙设备连接时，首先应确认连接行为是否由合法用户操作引起。可通过系统通知、设备列表、连接记录等方式进行初步判断。

• 查看当前已连接设备列表
• 检查最近连接历史记录
• 确认是否有用户主动发起配对请求

2. 蓝牙协议基础与安全机制概述

蓝牙协议采用分层架构，包括物理层（PHY）、链路层（LL）、主机控制器接口（HCI）、逻辑链路控制与适配协议（L2CAP）等。安全机制主要包括：

协议层	安全机制
物理层	跳频技术防止监听
链路层	加密与认证（如LE Secure Connections）
配对机制	MITM保护（如Passkey Entry、Just Works）

3. 排查步骤详解

1. 检查系统日志：查看蓝牙服务日志（如Linux下 /var/log/bluetooth 或 Windows事件查看器）
2. 分析连接时间与设备信息：识别MAC地址、设备名称、连接方式（主动连接/被动响应）
3. 比对白名单设备：查看当前设备是否在信任设备列表中
4. 检查配对方式与密钥：确认是否使用了安全配对方式（如LE Secure Connections）
5. 使用Wireshark等工具抓包分析：查看蓝牙通信过程是否存在异常行为

4. 蓝牙配对机制分析与安全影响

蓝牙配对机制决定设备之间如何建立信任关系。常见配对方式包括：

graph TD A[配对方式] --> B[Just Works] A --> C[Passkey Entry] A --> D[Numeric Comparison] A --> E[OOB (带外配对)] B --> F[无MITM保护] C --> G[有MITM保护] D --> G E --> H[最高安全性]

若系统使用了不安全的配对方式（如Just Works），则容易受到中间人攻击。

5. 安全加固措施

为防止未授权设备连接，应从协议层、系统配置与用户行为三方面进行加固：

• 启用LE Secure Connections模式
• 禁用自动配对功能
• 设置配对白名单机制
• 定期清理信任设备列表
• 限制蓝牙服务的运行权限
• 部署蓝牙入侵检测系统（如BlueHID、BTScanner）
• 对关键设备启用OOB配对方式
• 启用蓝牙日志审计与告警机制