比特币交易所

使用蓝牙传输数据的硬件钱包到底安全吗?

2013-06-28 09:09:57 5482 阅读 0 评论

本文作者:Cobo Vault安全练习生

2019年8月,CVE (Common Vulnerabilities & Exposures,通用漏洞披露)更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员Daniele Antonioli,德国CISPA的Nils Ole Tippenhauer博士和英国牛津大学的Kasper Rasmussen教授发现,漏洞范围横跨蓝牙BR / EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。


QQ20191128-164238@2x


蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输,再到以低功耗为主打的物联网传输,蓝牙的应用场景越来越广泛。


国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?


今天小编就给大家解剖一下蓝牙漏洞KNOB!


首先,我们对蓝牙的类型做个简单了解:

QQ20191128-161210@2x


传统蓝牙(BR/EDR)适用于短距离(10米内)持续的无线连接,比如将图片从手机A传到手机B,蓝牙耳机听歌等。出于安全考虑,两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥,熵值越大表示越安全。


KNOB漏洞就出现在传统蓝牙(BR/EDR)设备熵协商的过程中。


经研究发现,熵协商的过程使用的是LMP协议(Link Manager Protocol),该协议既不加密也不进行验证,因此可以通过无线方式(OTA)进行攻击挟持和操作。


具体过程如下:

QQ20191128-164250@2x


KNOB漏洞允许攻击者对两个目标设备进行欺骗使其同意将加密密钥的熵值设定为1 字节,这样就可以很容易地对协商的加密密钥进行暴力破解。


我们总结一下KNOB攻击的必要条件:

1、两个设备都是蓝牙BR/EDR设备,且存在KNOB漏洞;

2、攻击者需要在设备的连接物理范围内;

3、由于熵协商需要在每次启用加密的时候都发生,且被攻击的时间窗口非常小,因此攻击者需要非常快速的重复攻击;


了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难


然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。


以下是给您的一些建议:


1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;

2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;

3、设备不使用时,蓝牙功能请保持关闭状态;

4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。

您可能喜欢

  • 買比特幣的幾個錯誤示範比特幣指數在觸及32985點的低點後,迎來一波反彈。不過,值得註意的,比特幣指數這幾天陷入橫盤整理,方向選擇不明朗。盤面上來看,2月8日,比特幣指數先是一度上漲,漲幅一度達到2.35%,隨後回落,一度又下跌2.58%,當天振幅近5%。2月9日,比特幣指數收跌1.99%,2月10日收跌1%,2月11日盤中也一度跌幅超2%。幾個交易日來,比特幣指數盤中來回整理,短線交易陷入了膠著狀態。那麽查看更多
  • 新手如何购买比特币Digital Assets Data首席执行官Mike Alfred发推表示,我购买了10.6个比特币,约50万美元,平均价格为47330美元。感谢saylor 的启发。新年到来,比特币价格起伏并不大,依旧处于低位状态,但是买比特币的人却在不断提升,这可能与新年的行情有关。截止发稿前,欧易OKEx提供数据,单枚比特币价格为46309.33美元。那么新手如何购买比特币呢?对于普通小白来查看更多
  • 比特幣交易有沒有門檻隨着普京決定在烏克蘭東部開展軍事行動,加密資產價格下跌,比特幣跌至一個月以來的低點。截至發稿,比特幣下跌9.08%%,至34,589.85美元。其他資產,如XRP,Cardano和Solana也在下跌。在過去幾周不斷升級的地緣政治緊張局勢中,比特幣的波動削弱了加密資產在困難時期提供對沖的觀點。與此同時,傳統的避險黃金周四飆升至2021年初以來的最高水平。加密平台Luno企業發展副總裁V查看更多
  • 俄罗斯能源部正寻求对加密货币矿工实施特殊电价10月14日消息,随着加密货币挖矿行业从中国迁移到俄罗斯,俄罗斯能源部正寻求对加密货币矿工实施特殊电价。查看更多
  • 買比特幣前要做哪些功课買比特幣前要做哪些功课?欧易OKEx官网上,截止发稿前单枚比特币价格为56439.40美元,折合人民币价格是365195.26元。从九月以来,比特币价格虽然多有波动,但是整体价格还是维持在了五万到六万美元之间,处于一个高位水准。这无疑给了很多新人投资者信心,那么对于他们来说,买比特币前要好做哪些功课呢?我们想要参与比特币购买,最应该了解的一点是比特币的价值来源。说到底比特币只是互联网中查看更多
  • 比特币价格多少钱一枚,如何买比特币价格多少钱一枚,根据欧易平台最新数据,截至发稿,BTC突破41000美元,现报41123.90美元,日内涨幅达到1.24%,行情波动较大,请做好风险控制。那么应该如何购买呢?最直接的方式就是在比特币交易所中购买。面对马上要迎来的大批交易好时机,投资者们在选择交易平台的时候需要更加注意,选择出入金都相对安全的平台才能够保障自己在赚到钱之后顺利提取。欧易交易所是面向全球的加密资产交易查看更多