藍牙的出現(xiàn)給我們的生活帶來了很大的便利�,但我們偶然還是會看到一些關(guān)于藍牙安全的科技新聞���。其中不乏一些的"藍牙安全缺陷使數(shù)百萬設(shè)備處于危險當中"���,或者"藍牙漏洞使你的設(shè)備容易受到攻擊"等等�����。而本文主要是想正確地闡述關(guān)于藍牙安全的問題����。
安全研究所與藍牙技術(shù)聯(lián)盟的合作
安全研究所和藍牙技術(shù)聯(lián)盟(SIG)之間存在著一種有計劃、有目的的合作關(guān)系��,SIG是一個非營利的行業(yè)協(xié)會���,主要負責監(jiān)督藍牙技術(shù)�。
藍牙技術(shù)聯(lián)盟鼓勵社區(qū)積極審查規(guī)范���,因為這些規(guī)范都是公開的��。在實驗室的特定環(huán)境中��,發(fā)現(xiàn)和查找這些漏洞是不容易的�����。
我們現(xiàn)在使用和依賴的科技技術(shù)���,對其的安全性關(guān)注是十分必要的,而藍牙技術(shù)聯(lián)盟以及他的成員們也在時刻關(guān)注著藍牙的使用是否產(chǎn)生了威脅行為����。無線藍牙的便捷性和重要性對我們來說不言而喻,同時確保其安全性更為關(guān)鍵����,這也是藍牙安全技術(shù)一直在不斷改進的重要原因���。
藍牙技術(shù)的發(fā)展
通過20年的努力,藍牙SIG與其成員公司合作�����,使藍牙技術(shù)成為現(xiàn)實無線低功耗的標準�。根據(jù)2020藍牙市場更新的數(shù)據(jù),今年將有46億臺使用藍牙技術(shù)的設(shè)備上市����。
我們已經(jīng)確保藍牙技術(shù)可以從一個簡單但出色的無線音頻配對解決方案發(fā)展到智能建筑、智能工業(yè)和智能城市等新興市場物聯(lián)網(wǎng)智能自動化的基礎(chǔ)����。
為了提供卓越的藍牙連接����,我們與成員社區(qū)中的近36000家公司合作,每個公司都使用藍牙技術(shù)作為各種應(yīng)用的連接組織���。
傳統(tǒng)產(chǎn)業(yè)和新興產(chǎn)業(yè)的發(fā)展��,以及維持這些產(chǎn)業(yè)所需的互聯(lián)設(shè)備的爆炸式增長�����,意味著安全性必須始終是技術(shù)專業(yè)人士的首要考慮�����。然而����,安全實現(xiàn)既不是交鑰匙,也不是一刀切�。讓藍牙技術(shù)真正普及是很不容易的。
因為藍牙無處不在�����,但實際上不可能無處不在���。
藍牙的無所不在正是藍牙SIG開發(fā)了一種三管齊下的方法來優(yōu)先考慮安全性和保護藍牙技術(shù)��。
該方法解決了藍牙規(guī)范和接口中的安全問題�,為藍牙SIG成員提供了持續(xù)的安全教育�。教育部分包括藍牙安全響應(yīng)程序���。它還專門為藍牙技術(shù)的不斷創(chuàng)新和迭代留下空間。
沒有技術(shù)是完美無缺的��。通過解釋藍牙SIG的安全過程的范圍和意圖��,我們希望為有關(guān)藍牙安全的敘述提供一個教育性的視角���,并將其從頭條新聞轉(zhuǎn)移到一個對我們的安全過程透明化的視角��,這將繼續(xù)加強現(xiàn)有的保護���,并引入新的安全措施,以滿足不斷變化的連接環(huán)境要求���。
規(guī)范:所有藍牙設(shè)備的構(gòu)建板塊
為了理解安全性��,理解藍牙技術(shù)的組成部分-藍牙規(guī)范是很重要的�����。
本質(zhì)上,規(guī)范是開發(fā)人員用來在藍牙設(shè)備之間建立連接和互操作性的需求��。除了音頻流和簡單的數(shù)據(jù)傳輸之外,藍牙的更多用例已經(jīng)出現(xiàn)��,包括設(shè)備網(wǎng)絡(luò)和所有應(yīng)用的定位服務(wù)�。藍牙的應(yīng)用包括工業(yè)資產(chǎn)跟蹤到商業(yè)照明。
隨著藍牙規(guī)范的擴展����,它們所包含的安全措施也不得不隨之擴展。
最突出的藍牙規(guī)范是核心規(guī)范��,它定義了開發(fā)人員用來創(chuàng)建可互操作設(shè)備的基本構(gòu)建塊����,這些設(shè)備構(gòu)成了蓬勃發(fā)展的藍牙生態(tài)系統(tǒng)。
但也有100多個附加的配置文件和協(xié)議規(guī)范定義了如何構(gòu)建從可互操作的藍牙耳機到創(chuàng)建用于照明控制的大規(guī)模藍牙網(wǎng)狀設(shè)備網(wǎng)絡(luò)�。
開發(fā)者指南
開發(fā)人員遵循每個規(guī)范中的指導原則,以便根據(jù)產(chǎn)品設(shè)計的需要來實現(xiàn)調(diào)整�����。
每個規(guī)范都有自己的技術(shù)和工具��,允許開發(fā)人員解決產(chǎn)品的安全預防措施和藍牙設(shè)備之間的安全通信�。
可以將其視為一個工具箱,開發(fā)人員可以從中選擇為其產(chǎn)品實現(xiàn)適當?shù)陌踩墑e�����。藍牙低能耗產(chǎn)品開發(fā)人員可以使用的一些安全功能包括:
防止被動竊聽
防止中間人(MITM)攻擊
利用AES-CCM加密技術(shù)在兩個藍牙低能設(shè)備之間進行加密通信
隱私和身份跟蹤保護
安全審查
雖然規(guī)范在開發(fā)過程中要經(jīng)過安全性審查,但要由SIG的36000個成員中的每一個選擇實現(xiàn)它們所需的最佳安全選項��。
例如���,工廠中啟用藍牙功能的狀態(tài)監(jiān)測系統(tǒng)需要與無線鼠標顯著不同的安全功能���。這是由開發(fā)人員選擇必要的安全功能來實現(xiàn)在他們的藍牙產(chǎn)品。
藍牙規(guī)范提供了這些選項和靈活性����,這使藍牙技術(shù)在各種低功耗無線技術(shù)中獨樹一幟。
這些選項使成員可以自由選擇其產(chǎn)品的最佳安全功能����,但這也可能意味著成員可能會選擇不足以滿足其應(yīng)用程序的安全或隱私功能。這就引出了第二部分——教育����。
教育:設(shè)計、開發(fā)和部署安全藍牙設(shè)備的工具
為了幫助會員為他們的應(yīng)用選擇合適的安全選項�,藍牙SIG定期發(fā)布學習指南、培訓視頻和各種各樣的其他教育材料��。
這些教材解釋了為什么某些安全選項在特定應(yīng)用程序中比其他安全選項更有效��。它們還解釋了每個規(guī)范中常見的安全風險以及如何最好地避免它們����。
常見的實施最佳做法包括:
遵循最新版本的藍牙規(guī)范,以確保開發(fā)者有最新的指導
記錄產(chǎn)品設(shè)計的安全要求�,以便在實施過程中使用適當?shù)陌踩?/p>
測試和審核實現(xiàn)的安全特性
確保UX接口向用戶提供任何安全或隱私問題的適當通知
在開發(fā)任何面向外部數(shù)據(jù)源(尤其是無線數(shù)據(jù)源)的接口時實施安全編碼實踐
雖然這些教材為會員指明了正確的方向,但藍牙技術(shù)是一個開放的全球標準��。藍牙SIG及其成員在安全研究社區(qū)的幫助下共同負責生產(chǎn)安全的藍牙設(shè)備和應(yīng)用程序�����。
社區(qū):分擔藍牙安全的責任
藍牙SIG與安全研究界有著長期的工作關(guān)系���。這種工作關(guān)系過程的一部分是鼓勵對技術(shù)進行持續(xù)審查��,并通過藍牙安全響應(yīng)計劃報告規(guī)范內(nèi)的漏洞�����。
響應(yīng)程序確保報告的漏洞在我們的成員組織中得到調(diào)查�、解決和溝通����。
例如���,去年,洛桑理工學院(EPFL)的研究人員幫助揭露了藍牙BR/EDR連接中的配對缺陷�����。
缺陷報告提交后會發(fā)生什么��?
一旦報告��,Bluetooth SIG就可以快速修復漏洞——為成員提供建議����,以便在核心規(guī)范可以徹底更新的同時集成任何必要的補丁——并快速更新。
藍牙技術(shù)的不斷完善�����,保證了SIG-EPFL的安全性和成員間的協(xié)作���。像這樣的關(guān)系使我們能夠快速解決任何由藍牙技術(shù)的新發(fā)展引起的安全問題����。
任重而道遠
藍牙技術(shù)的潛力和力量繼續(xù)增長。隨著每年數(shù)十億新的藍牙設(shè)備的出貨����,藍牙無線技術(shù)已經(jīng)嵌入到我們的生活中�����。
藍牙把我們彼此聯(lián)系起來��,也是我們周圍世界的紐帶����。隨著社區(qū)不斷擴展藍牙技術(shù)的功能,它的關(guān)鍵焦點是確保我們的藍牙通信保持安全���。
