本文作者:CoboVault安全练习生2019年8月,CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli,德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现,漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。
推特创始人:将致力于使每个人都可以使用比特币:金色财经报道,推特及Square创始人Jack Dorsey今日在迈阿密举行的比特币2021大会上表示:“无论我能做什么,我的公司能做什么,以使每个人都可以使用比特币,这就是我将在余生中做的事情。我们不再需要银行了。我们不需要今天的金融机构,我们有一个蓬勃发展的,属于社区的金融机构。”[2021/6/5 23:13:19]
蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输,再到以低功耗为主打的物联网传输,蓝牙的应用场景越来越广泛。国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?今天小编就给大家解剖一下蓝牙漏洞KNOB!
声音 | 人权基金会CSO:世界银行等组织不会选择使用比特币向委内瑞拉人提供援助:开放货币倡议是人权基金会赞助的以委内瑞拉为重点的实地研究项目,它为世界银行等国际组织找到利用比特币向有需要的委内瑞拉公民提供援助的机会。目前,由于委内瑞拉政府反对外国援助,人道主义组织不能直接向该国汇款。人权基金会CSO Alex Gladstein表示,他们可以利用比特币,并以数字资产的形式私下转移援助资金。国际组织和非营利组织可以将其法定货币转换为比特币,并将资产发送到当地市场。然后,当地运营商将把收到的比特币转换成玻利瓦尔,并用它们来购买食品和委内瑞拉人民迫切需要的任何物资。他表示,目前委内瑞拉有许多P2P市场,可以用来在法币和比特币之间进行交易。LocalBitcoins是最受欢迎的P2P平台之一,日交易量超过加拉加斯证券交易所。然而,他表示,挑战在于像世界银行这样的高知名度组织不愿意采用这种方法,害怕激怒委内瑞拉政府。除了阻力,拟议计划也可能因缺乏准入而受到影响。例如,LocalBitcoins仅在笔记本电脑上可用,手机上不可用。委内瑞拉并非人人都有笔记本电脑,停电也很频繁。此外,LocalBitcoins所能提供的服务范围很有限。(The Block)[2019/12/12]
首先,我们对蓝牙的类型做个简单了解:
金色财经现场报道 ICOBox联合创始人MIke Raitsyn:有安保需求的商业领域都可使用区块链:金色财经前方记者实时报道,第二届全球金融科技与区块链中国峰会于4月12日在上海召开,MIke Raitsyn在峰会现场表示,区块链技术让整个计算机以及虚拟市场更民主,不管是开发者还是风险投资者,或者非盈利机构都可以在区块链市场自由进行交易和生长。我相信区块链是一个好的概念,但并不是任何时间、任何地点都需要区块链。区块链是一个技术、一个共识,是分享的同步的数据。同时由一些独立的节点组成,有多个管理。选用区块链的时候,你首先要了解是不是需要需要区块链,这是一个决策数。在不同商业领域当中,可以说所有主要商业领域当中,只要有安保需求都可以使用区块链技术。[2018/4/12]
传统蓝牙适用于短距离持续的无线连接,比如将图片从手机A传到手机B,蓝牙耳机听歌等。出于安全考虑,两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥,熵值越大表示越安全。KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。经研究发现,熵协商的过程使用的是LMP协议,该协议既不加密也不进行验证,因此可以通过无线方式进行攻击挟持和操作。具体过程如下:
KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节,这样就可以很容易地对协商的加密密钥进行暴力破解。我们总结一下KNOB攻击的必要条件:
1、两个设备都是蓝牙BR/EDR设备,且存在KNOB漏洞;2、攻击者需要在设备的连接物理范围内;3、由于熵协商需要在每次启用加密的时候都发生,且被攻击的时间窗口非常小,因此攻击者需要非常快速的重复攻击;了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难。然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。以下是给您的一些建议:1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;3、设备不使用时,蓝牙功能请保持关闭状态;4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。