區塊鏈:使用藍牙傳輸數據的硬件錢包到底安全嗎？_TETOINU

本文作者：CoboVault安全練習生2019年8月，CVE更新了一則代號為CVE-2019-9506的藍牙漏洞KNOB(Key-Negotiation-of-Bluetooth)，CVSS評分高達9.3分。該漏洞由新加坡SUTD的研究人員DanieleAntonioli，德國CISPA的NilsOleTippenhauer博士和英國牛津大學的KasperRasmussen教授發現，漏洞范圍橫跨藍牙BR/EDR藍牙核心規范版本1.0至5.1，影響超過10萬臺開啟藍牙的設備，包括智能手機、筆記本電腦、物聯網設備和工業設備等。

日本區塊鏈行業發起新討論 嘗試使用日語命名行業術語:6月13日，日本區塊鏈及加密貨幣行業從業者及專家共同召開了“嘗試使用日語命名區塊鏈行業術語”的主題討論，本次討論的起因為月初的參議院財政金融委員會，當時參議員音喜多駿曾向日本財務大臣麻生太郎詢問了有關加密貨幣稅收改革的問題，但麻生太郎并未給出直接回答，而是談論了加密貨幣的名稱問題。麻生太郎表示：“「暗號」（即密碼）一詞聽起來多少讓人覺得有些奇怪，不要用「ステーブルコイン」（即stablecoin，穩定幣），用一些更易理解的日語詞匯怎么樣？”

注：關于麻生太郎的原話，兩家日本區塊鏈媒體的報道存在出入，Cointelegraph日本站的報道是“使用像ステーブルコイン這樣的日語”，Coinpost的報道則是“不要用”。（Coinpost）[2020/6/15]

藍牙協議的問世和普及已經有25年的歷史。從音頻傳輸、圖文傳輸、視頻傳輸，再到以低功耗為主打的物聯網傳輸，藍牙的應用場景越來越廣泛。國內外很多硬件錢包也采用了藍牙技術來完成冷熱端的信息傳輸。那么，KNOB會對這些硬件錢包產生威脅么？今天小編就給大家解剖一下藍牙漏洞KNOB！

聲音 | Ripple首席技術官：不應使用個人主要銀行賬戶進行加密相關交易:據ambcrypto報道，加密貨幣分析師和CNBC主持人Ran NeuNer發推文稱：“我銀行的合規部門已經要求我打電話討論加密相關存取款問題，就好像我通過購買加密貨幣從事犯罪活動一樣。因此，今天我需要花兩小時向一個心胸狹窄的白癡解釋，購買加密貨幣實際上是合法的。”對此，Ripple首席技術官David Schwartz建議，不應使用個人主要的銀行賬號進行任何加密貨幣相關交易。Schwartz稱，Union Bank銀行在沒有通知的情況下關閉了他平時用來付賬單的銀行賬戶，他是在網上銀行的服務停止工作時才發現這個問題。Schwartz被銀行告知關閉其賬戶是一個“商業決定”。[2019/5/4]

首先，我們對藍牙的類型做個簡單了解：

聲音 | 同濟大學教授馬小峰：區塊鏈技術可實現扶貧資金的透明使用:據湖南政協新聞網報道，在2018國際區塊鏈大會上，“面對規模巨大的扶貧資金，各地政府如何確保‘募得了，投得好，管得住，收得回，不出事’？”的問題，同濟大學教授、中國電子學會區塊鏈分會副主任委員馬小峰說，以區塊鏈技術的“交易溯源、不可篡改”，可以實現扶貧資金的透明使用、精準投放和高效管理。[2018/12/14]

傳統藍牙適用于短距離持續的無線連接，比如將圖片從手機A傳到手機B，藍牙耳機聽歌等。出于安全考慮，兩個藍牙BR/EDR設備在進行安全連接配對時可以協商一個1-16個字節的熵值作為加密密鑰，熵值越大表示越安全。KNOB漏洞就出現在傳統藍牙設備熵協商的過程中。經研究發現，熵協商的過程使用的是LMP協議，該協議既不加密也不進行驗證，因此可以通過無線方式進行攻擊挾持和操作。具體過程如下：

KNOB漏洞允許攻擊者對兩個目標設備進行欺騙使其同意將加密密鑰的熵值設定為1字節，這樣就可以很容易地對協商的加密密鑰進行暴力破解。我們總結一下KNOB攻擊的必要條件：

1、兩個設備都是藍牙BR/EDR設備，且存在KNOB漏洞；2、攻擊者需要在設備的連接物理范圍內；3、由于熵協商需要在每次啟用加密的時候都發生，且被攻擊的時間窗口非常小，因此攻擊者需要非常快速的重復攻擊；了解KNOB的原理后，小編個人認為藍牙硬件錢包還是相對安全的，因為需要達到攻擊條件真的非常困難。然而和所有無線技術一樣，藍牙通信容易受到各種威脅。因為藍牙技術使用了各種各樣的芯片組、操作系統和物理設備配置，這會涉及到大量不同的安全編程接口和默認設置。這些復雜性增加了藍牙受到攻擊的可能性和影響面。攻擊者k可以利用該漏洞對兩個設備之間傳輸的數據進行監聽和操縱，進而導致個人身份信息和敏感信息泄露并被跟蹤。以下是給您的一些建議：1、購買藍牙硬件錢包前，確認設備藍牙類型和版本，避免有漏洞歷史的版本；2、盡量不要在公眾場合和人多的場景使用藍牙硬件錢包；3、設備不使用時，藍牙功能請保持關閉狀態；4、可以考慮二維碼傳輸數據的硬件錢包，安全透明更省心。

Tags：區塊鏈加密貨幣OINCOIN以下哪項不是區塊鏈目前的分類加密貨幣市場最新消息TETOINUbzbcoin

USDC