加密货币:使用蓝牙传输数据的硬件钱包安全吗？

本文作者：CoboVault安全练习生

2019年8月，CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth)，CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli，德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现，漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1，影响超过10万台开启蓝牙的设备，包括智能手机、笔记本电脑、物联网设备和工业设备等。

美国移民和海关执法局计划使用Coinbase开发的软件作为取证工具:金色财经报道，公开记录显示，美国移民和海关执法局希望利用Coinbase开发的“计算机取证软件。8月3日的一份文件中包含了计划授予合同的详细信息，该文件目前存在于SAM.gov数据库中。计划合同行动的通知声明如下：国土安全部 (DHS)、美国移民和海关执法局 (ICE)、采购管理办公室 (OAQ) 打算根据计算机取证服务的全面和公开竞争之外的其他基础授予采购订单。根据 FAR 13.106-1(b)(1)(i) 和 (ii)，Coinbase, Inc.（DUNS 编号 081007539）是唯一可以合理提供该机构所需服务的供应商。这项要求的估计总美元价值为29,000.00美元，合同期为一年，从授予之日起开始。（Theblockcrypto）[2021/8/13 1:51:43]

蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输，再到以低功耗为主打的物联网传输，蓝牙的应用场景越来越广泛。

加拿大邮政将使用比特币来支付员工工资:加拿大邮政（Canada Post）认识到国内货币金融环境正在发生变化，并注意到公众越来越多地采用加密货币，决定将使用比特币来支付员工工资。(Reddit论坛[2021/3/31 19:31:42]

国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么，KNOB会对这些硬件钱包产生威胁么？

今天小编就给大家解剖一下蓝牙漏洞KNOB！

动态 | 33%欧洲用户在餐馆和酒店消费中使用加密货币支付:金色财经报道，欧盟认证协作银行平台2Gether发布的数据显示，其33%的欧洲用户在餐馆和酒店的消费中选择用加密货币支付，其中有些用户使用比特币和山寨币的可能性还高于欧元。19%的用户在超市和杂货店消费时使用加密支付，在通讯和运输消费中使用加密货币支付的占比为12%；娱乐和文化的加密货币支出占比为8%，而使用加密货币进行金融和投资活动的占比不到7%。[2020/1/18]

首先，我们对蓝牙的类型做个简单了解：

动态 | USDZ Capital Group将推出使用ERC-20标准的美元稳定币:总部位于英国的USDZ资本集团（USDZ Capital Group）计划推出基于以太坊区块链，使用ERC-20标准的美元稳定币USDZ。（ZyCrypto）[2019/12/29]

传统蓝牙适用于短距离持续的无线连接，比如将图片从手机A传到手机B，蓝牙耳机听歌等。出于安全考虑，两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥，熵值越大表示越安全。

KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。

经研究发现，熵协商的过程使用的是LMP协议，该协议既不加密也不进行验证，因此可以通过无线方式进行攻击挟持和操作。

具体过程如下：

KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节，这样就可以很容易地对协商的加密密钥进行暴力破解。

我们总结一下KNOB攻击的必要条件：

1、两个设备都是蓝牙BR/EDR设备，且存在KNOB漏洞；

2、攻击者需要在设备的连接物理范围内；

3、由于熵协商需要在每次启用加密的时候都发生，且被攻击的时间窗口非常小，因此攻击者需要非常快速的重复攻击；

了解KNOB的原理后，小编个人认为蓝牙硬件钱包还是相对安全的，因为需要达到攻击条件真的非常困难。

然而和所有无线技术一样，蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置，这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵，进而导致个人身份信息和敏感信息泄露并被跟踪。

以下是给您的一些建议：

1、购买蓝牙硬件钱包前，确认设备蓝牙类型和版本，避免有漏洞历史的版本；

2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包；

3、设备不使用时，蓝牙功能请保持关闭状态；

4、可以考虑二维码传输数据的硬件钱包，安全透明更省心。

标签：加密货币USDUSDZEDR加密货币手法泰达币USDT发行USDZ币EDRA币

芝麻开门交易所热门资讯