藍(lán)牙的出現(xiàn)給我們的生活帶來了很大的便利��,但我們偶然還是會(huì)看到一些關(guān)于藍(lán)牙安全的科技新聞��。其中不乏一些的"藍(lán)牙安全缺陷使數(shù)百萬設(shè)備處于危險(xiǎn)當(dāng)中"���,或者"藍(lán)牙漏洞使你的設(shè)備容易受到攻擊"等等���。而本文主要是想正確地闡述關(guān)于藍(lán)牙安全的問題。
安全研究所與藍(lán)牙技術(shù)聯(lián)盟的合作
安全研究所和藍(lán)牙技術(shù)聯(lián)盟(SIG)之間存在著一種有計(jì)劃�、有目的的合作關(guān)系,SIG是一個(gè)非營利的行業(yè)協(xié)會(huì)����,主要負(fù)責(zé)監(jiān)督藍(lán)牙技術(shù)。
藍(lán)牙技術(shù)聯(lián)盟鼓勵(lì)社區(qū)積極審查規(guī)范�,因?yàn)檫@些規(guī)范都是公開的。在實(shí)驗(yàn)室的特定環(huán)境中��,發(fā)現(xiàn)和查找這些漏洞是不容易的�����。
我們現(xiàn)在使用和依賴的科技技術(shù)��,對(duì)其的安全性關(guān)注是十分必要的���,而藍(lán)牙技術(shù)聯(lián)盟以及他的成員們也在時(shí)刻關(guān)注著藍(lán)牙的使用是否產(chǎn)生了威脅行為���。無線藍(lán)牙的便捷性和重要性對(duì)我們來說不言而喻,同時(shí)確保其安全性更為關(guān)鍵�����,這也是藍(lán)牙安全技術(shù)一直在不斷改進(jìn)的重要原因。
藍(lán)牙技術(shù)的發(fā)展
通過20年的努力�,藍(lán)牙SIG與其成員公司合作,使藍(lán)牙技術(shù)成為現(xiàn)實(shí)無線低功耗的標(biāo)準(zhǔn)���。根據(jù)2020藍(lán)牙市場更新的數(shù)據(jù)����,今年將有46億臺(tái)使用藍(lán)牙技術(shù)的設(shè)備上市����。
我們已經(jīng)確保藍(lán)牙技術(shù)可以從一個(gè)簡單但出色的無線音頻配對(duì)解決方案發(fā)展到智能建筑、智能工業(yè)和智能城市等新興市場物聯(lián)網(wǎng)智能自動(dòng)化的基礎(chǔ)�。
為了提供卓越的藍(lán)牙連接���,我們與成員社區(qū)中的近36000家公司合作�����,每個(gè)公司都使用藍(lán)牙技術(shù)作為各種應(yīng)用的連接組織����。
傳統(tǒng)產(chǎn)業(yè)和新興產(chǎn)業(yè)的發(fā)展,以及維持這些產(chǎn)業(yè)所需的互聯(lián)設(shè)備的爆炸式增長�,意味著安全性必須始終是技術(shù)專業(yè)人士的首要考慮。然而����,安全實(shí)現(xiàn)既不是交鑰匙,也不是一刀切����。讓藍(lán)牙技術(shù)真正普及是很不容易的。
因?yàn)樗{(lán)牙無處不在���,但實(shí)際上不可能無處不在���。
藍(lán)牙的無所不在正是藍(lán)牙SIG開發(fā)了一種三管齊下的方法來優(yōu)先考慮安全性和保護(hù)藍(lán)牙技術(shù)。
該方法解決了藍(lán)牙規(guī)范和接口中的安全問題���,為藍(lán)牙SIG成員提供了持續(xù)的安全教育��。教育部分包括藍(lán)牙安全響應(yīng)程序��。它還專門為藍(lán)牙技術(shù)的不斷創(chuàng)新和迭代留下空間��。
沒有技術(shù)是完美無缺的��。通過解釋藍(lán)牙SIG的安全過程的范圍和意圖���,我們希望為有關(guān)藍(lán)牙安全的敘述提供一個(gè)教育性的視角����,并將其從頭條新聞轉(zhuǎn)移到一個(gè)對(duì)我們的安全過程透明化的視角���,這將繼續(xù)加強(qiáng)現(xiàn)有的保護(hù)�����,并引入新的安全措施�����,以滿足不斷變化的連接環(huán)境要求�。
規(guī)范:所有藍(lán)牙設(shè)備的構(gòu)建板塊
為了理解安全性�,理解藍(lán)牙技術(shù)的組成部分-藍(lán)牙規(guī)范是很重要的���。
本質(zhì)上��,規(guī)范是開發(fā)人員用來在藍(lán)牙設(shè)備之間建立連接和互操作性的需求����。除了音頻流和簡單的數(shù)據(jù)傳輸之外,藍(lán)牙的更多用例已經(jīng)出現(xiàn)�,包括設(shè)備網(wǎng)絡(luò)和所有應(yīng)用的定位服務(wù)。藍(lán)牙的應(yīng)用包括工業(yè)資產(chǎn)跟蹤到商業(yè)照明�����。
隨著藍(lán)牙規(guī)范的擴(kuò)展�����,它們所包含的安全措施也不得不隨之?dāng)U展���。
最突出的藍(lán)牙規(guī)范是核心規(guī)范�,它定義了開發(fā)人員用來創(chuàng)建可互操作設(shè)備的基本構(gòu)建塊���,這些設(shè)備構(gòu)成了蓬勃發(fā)展的藍(lán)牙生態(tài)系統(tǒng)����。
但也有100多個(gè)附加的配置文件和協(xié)議規(guī)范定義了如何構(gòu)建從可互操作的藍(lán)牙耳機(jī)到創(chuàng)建用于照明控制的大規(guī)模藍(lán)牙網(wǎng)狀設(shè)備網(wǎng)絡(luò)��。
開發(fā)者指南
開發(fā)人員遵循每個(gè)規(guī)范中的指導(dǎo)原則,以便根據(jù)產(chǎn)品設(shè)計(jì)的需要來實(shí)現(xiàn)調(diào)整��。
每個(gè)規(guī)范都有自己的技術(shù)和工具�,允許開發(fā)人員解決產(chǎn)品的安全預(yù)防措施和藍(lán)牙設(shè)備之間的安全通信。
可以將其視為一個(gè)工具箱�,開發(fā)人員可以從中選擇為其產(chǎn)品實(shí)現(xiàn)適當(dāng)?shù)陌踩?jí)別。藍(lán)牙低能耗產(chǎn)品開發(fā)人員可以使用的一些安全功能包括:
防止被動(dòng)竊聽
防止中間人(MITM)攻擊
利用AES-CCM加密技術(shù)在兩個(gè)藍(lán)牙低能設(shè)備之間進(jìn)行加密通信
隱私和身份跟蹤保護(hù)
安全審查
雖然規(guī)范在開發(fā)過程中要經(jīng)過安全性審查�����,但要由SIG的36000個(gè)成員中的每一個(gè)選擇實(shí)現(xiàn)它們所需的最佳安全選項(xiàng)���。
例如����,工廠中啟用藍(lán)牙功能的狀態(tài)監(jiān)測系統(tǒng)需要與無線鼠標(biāo)顯著不同的安全功能����。這是由開發(fā)人員選擇必要的安全功能來實(shí)現(xiàn)在他們的藍(lán)牙產(chǎn)品。
藍(lán)牙規(guī)范提供了這些選項(xiàng)和靈活性����,這使藍(lán)牙技術(shù)在各種低功耗無線技術(shù)中獨(dú)樹一幟。
這些選項(xiàng)使成員可以自由選擇其產(chǎn)品的最佳安全功能���,但這也可能意味著成員可能會(huì)選擇不足以滿足其應(yīng)用程序的安全或隱私功能��。這就引出了第二部分——教育��。
教育:設(shè)計(jì)�����、開發(fā)和部署安全藍(lán)牙設(shè)備的工具
為了幫助會(huì)員為他們的應(yīng)用選擇合適的安全選項(xiàng)�����,藍(lán)牙SIG定期發(fā)布學(xué)習(xí)指南����、培訓(xùn)視頻和各種各樣的其他教育材料���。
這些教材解釋了為什么某些安全選項(xiàng)在特定應(yīng)用程序中比其他安全選項(xiàng)更有效�。它們還解釋了每個(gè)規(guī)范中常見的安全風(fēng)險(xiǎn)以及如何最好地避免它們���。
常見的實(shí)施最佳做法包括:
遵循最新版本的藍(lán)牙規(guī)范�,以確保開發(fā)者有最新的指導(dǎo)
記錄產(chǎn)品設(shè)計(jì)的安全要求��,以便在實(shí)施過程中使用適當(dāng)?shù)陌踩?/p>
測試和審核實(shí)現(xiàn)的安全特性
確保UX接口向用戶提供任何安全或隱私問題的適當(dāng)通知
在開發(fā)任何面向外部數(shù)據(jù)源(尤其是無線數(shù)據(jù)源)的接口時(shí)實(shí)施安全編碼實(shí)踐
雖然這些教材為會(huì)員指明了正確的方向,但藍(lán)牙技術(shù)是一個(gè)開放的全球標(biāo)準(zhǔn)����。藍(lán)牙SIG及其成員在安全研究社區(qū)的幫助下共同負(fù)責(zé)生產(chǎn)安全的藍(lán)牙設(shè)備和應(yīng)用程序。
社區(qū):分擔(dān)藍(lán)牙安全的責(zé)任
藍(lán)牙SIG與安全研究界有著長期的工作關(guān)系���。這種工作關(guān)系過程的一部分是鼓勵(lì)對(duì)技術(shù)進(jìn)行持續(xù)審查���,并通過藍(lán)牙安全響應(yīng)計(jì)劃報(bào)告規(guī)范內(nèi)的漏洞。
響應(yīng)程序確保報(bào)告的漏洞在我們的成員組織中得到調(diào)查���、解決和溝通���。
例如,去年���,洛桑理工學(xué)院(EPFL)的研究人員幫助揭露了藍(lán)牙BR/EDR連接中的配對(duì)缺陷���。
缺陷報(bào)告提交后會(huì)發(fā)生什么?
一旦報(bào)告���,Bluetooth SIG就可以快速修復(fù)漏洞——為成員提供建議���,以便在核心規(guī)范可以徹底更新的同時(shí)集成任何必要的補(bǔ)丁——并快速更新�����。
藍(lán)牙技術(shù)的不斷完善,保證了SIG-EPFL的安全性和成員間的協(xié)作�。像這樣的關(guān)系使我們能夠快速解決任何由藍(lán)牙技術(shù)的新發(fā)展引起的安全問題。
任重而道遠(yuǎn)
藍(lán)牙技術(shù)的潛力和力量繼續(xù)增長����。隨著每年數(shù)十億新的藍(lán)牙設(shè)備的出貨,藍(lán)牙無線技術(shù)已經(jīng)嵌入到我們的生活中���。
藍(lán)牙把我們彼此聯(lián)系起來��,也是我們周圍世界的紐帶��。隨著社區(qū)不斷擴(kuò)展藍(lán)牙技術(shù)的功能����,它的關(guān)鍵焦點(diǎn)是確保我們的藍(lán)牙通信保持安全�。
