本文作者:CoboVault安全练习生
2019年8月,CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli,德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现,漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。
动态 | 常熟银行新一代核心系统使用了区块链等技术:据证券日报报道,近日,常熟银行投资者交流会在上海举行,董事长宋建明表示,常熟银行在科技上的投入每年都很大,目前的科技团队超过500人,今后还将依托苏州工业园区,吸引更多科技人才加盟。原来对科技的定位是保障业务发展,现在对科技的定位是引领业务发展。新一代核心系统里使用了路由技术、区块链技术,业务的线上转化率已经超过90%,每一个业务结点都要用科技来赋能。[2019/5/10]
蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输,再到以低功耗为主打的物联网传输,蓝牙的应用场景越来越广泛。
动态 | LV母公司正在计划使用区块链技术追踪奢侈品:据CoinDesk消息,路易威登(Louis Vuitton)母公司LVMH正在计划使用区块链技术追踪奢侈品。据悉,LVMH已招募了一个区块链团队,研发AURA区块链平台,预计将在5月或6月与其另一个品牌Parfums Christian Dior同时上线,随后将拓展到LVMH的其它60多个品牌,最终将支持竞争队手的品牌。AURA将提供奢侈品的真实性证明,从原产地的原材料一直追溯到销售点,再到二手货市场的全过程。[2019/3/26]
国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?
金色相对论 | 张海晖:区块链项目应做到资金和币权使用透明:在本期金色相对论中,中加区块链创新加速器创始人张海晖表示:区块链项目需要做到四个透明,供所有从业者包括项目方和投资者参考:
1、团队要透明:一是项目创始人要有为此项目早期承担无限责任,二是团队成员不应该是挂名的,而是能全职进入到此项目中为投资人负责。
2、资金使用要透明:资金为区块链项目服务,不能把项目资金挪为私用。
3、社区基金使用要透明:项目投资人前期投入的资金足够可以支撑该团队在锁仓期内运作,所以在团队份额锁仓期内,原则上不能动用社区基金份额,这部分份额应对外公示透明化。
4、股权和币权要使用透明:股权和币权不能有任何交叉,杜绝股权和币权之间的利益输送,否则极有可能造成非法占有项目资金为自己股权公司服务,造成投资者损失。[2018/8/31]
今天小编就给大家解剖一下蓝牙漏洞KNOB!
丹麦将探索使用区块链技术 为贫困地区直接提供援助:从今年早些时候开始,区块链在人道主义援助方面的作用通过联合国的试点项目得以发挥,吸引了更多人的注意,不少相关机构也开始进行这方面的研究。丹麦外交部已经在最新的报告中提出要探索区块链技术,利用其优势向贫困地区直接提供援助。这种积极正面的区块链用例在提升该技术形象方面有着至关重要的作用。[2017/12/15]
首先,我们对蓝牙的类型做个简单了解:
传统蓝牙适用于短距离持续的无线连接,比如将图片从手机A传到手机B,蓝牙耳机听歌等。出于安全考虑,两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥,熵值越大表示越安全。
KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。
经研究发现,熵协商的过程使用的是LMP协议,该协议既不加密也不进行验证,因此可以通过无线方式进行攻击挟持和操作。
具体过程如下:
KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节,这样就可以很容易地对协商的加密密钥进行暴力破解。
我们总结一下KNOB攻击的必要条件:
1、两个设备都是蓝牙BR/EDR设备,且存在KNOB漏洞;
2、攻击者需要在设备的连接物理范围内;
3、由于熵协商需要在每次启用加密的时候都发生,且被攻击的时间窗口非常小,因此攻击者需要非常快速的重复攻击;
了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难。
然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。
以下是给您的一些建议:
1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;
2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;
3、设备不使用时,蓝牙功能请保持关闭状态;
4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。