區塊鏈:使用藍牙傳輸數據的硬件錢包到底安全嗎？

本文作者：CoboVault安全練習生2019年8月，CVE更新了一則代號為CVE-2019-9506的藍牙漏洞KNOB(Key-Negotiation-of-Bluetooth)，CVSS評分高達9.3分。該漏洞由新加坡SUTD的研究人員DanieleAntonioli，德國CISPA的NilsOleTippenhauer博士和英國牛津大學的KasperRasmussen教授發現，漏洞范圍橫跨藍牙BR/EDR藍牙核心規范版本1.0至5.1，影響超過10萬臺開啟藍牙的設備，包括智能手機、筆記本電腦、物聯網設備和工業設備等。

財通證券：與螞蟻金服區塊鏈合作正有序推進，其可信存證服務已投入使用:財通證券（601108）在互動平臺上表示，公司與螞蟻金服的區塊鏈合作正在有序推進，其中螞蟻區塊鏈可信存證服務目前已投入使用，主要應用在理財商城協議簽署留痕存證。另外，螞蟻區塊鏈資產權益兌換服務平臺，目前正在聯調中。（發布易）[2020/8/4]

藍牙協議的問世和普及已經有25年的歷史。從音頻傳輸、圖文傳輸、視頻傳輸，再到以低功耗為主打的物聯網傳輸，藍牙的應用場景越來越廣泛。國內外很多硬件錢包也采用了藍牙技術來完成冷熱端的信息傳輸。那么，KNOB會對這些硬件錢包產生威脅么？今天小編就給大家解剖一下藍牙漏洞KNOB！

研究：通過限制使用存入資產可保護客戶免受加密貨幣托管商破產風險:金色財經報道，萊頓法學院的一組研究人員認為，如果加密貨幣托管商進入破產狀態，圍繞法律程序和投資者權利的問題仍然缺乏明確性。該小組分析了如何持有比特幣以及如何創建和轉讓其所有權。研究基于Coinbase、Gemini和Kraken等主要加密交易所的當前條款和條件。研究發現，法院通過引用??最終關閉的兩個加密貨幣交易所MtGox和BitGrail的案件，否認了客戶的賠償要求。這是因為比特幣不能成為所有權對象，或者由于加密資產是混合存放的。該研究的作者建議，禁止或限制使用存入的資產可以更好地保護客戶免受加密貨幣托管商破產的風險。這可以通過將比特幣存儲在單獨的區塊鏈地址中來完成。該研究提出了三個主要建議：1.加密投資者應收到有關加密托管商是否將使用其存入的比特幣的信息；2.加密投資者要求從破產的加密托管商那里收回比特幣的主張可以被視為具有合同效力。3.禁止或限制加密托管商對已存入的加密資產進行再利用。[2020/6/4]

首先，我們對藍牙的類型做個簡單了解：

聲音 | Blockchain Capital合伙人：企業創建和使用自己的加密貨幣是合理的:據CNBC報道，加密投資公司Blockchain Capital的合伙人Spencer Bogart最近表示，“在麥當勞等公司信用評級高于愛爾蘭等國家的時代，跨國公司發行自己的貨幣，并要求客戶購買這些貨幣的行為顯得并不那么古怪。如果他們信任這些公司的品牌和產品，他們也會相信公司所發行的貨幣。我們將真正看到貨幣的民主化。當然當太多公司開始發行自己的貨幣時，也有可能會出現一些混亂，就像圍繞主流貨幣的團體或聯盟一樣。”[2019/4/23]

傳統藍牙適用于短距離持續的無線連接，比如將圖片從手機A傳到手機B，藍牙耳機聽歌等。出于安全考慮，兩個藍牙BR/EDR設備在進行安全連接配對時可以協商一個1-16個字節的熵值作為加密密鑰，熵值越大表示越安全。KNOB漏洞就出現在傳統藍牙設備熵協商的過程中。經研究發現，熵協商的過程使用的是LMP協議，該協議既不加密也不進行驗證，因此可以通過無線方式進行攻擊挾持和操作。具體過程如下：

KNOB漏洞允許攻擊者對兩個目標設備進行欺騙使其同意將加密密鑰的熵值設定為1字節，這樣就可以很容易地對協商的加密密鑰進行暴力破解。我們總結一下KNOB攻擊的必要條件：

1、兩個設備都是藍牙BR/EDR設備，且存在KNOB漏洞；2、攻擊者需要在設備的連接物理范圍內；3、由于熵協商需要在每次啟用加密的時候都發生，且被攻擊的時間窗口非常小，因此攻擊者需要非常快速的重復攻擊；了解KNOB的原理后，小編個人認為藍牙硬件錢包還是相對安全的，因為需要達到攻擊條件真的非常困難。然而和所有無線技術一樣，藍牙通信容易受到各種威脅。因為藍牙技術使用了各種各樣的芯片組、操作系統和物理設備配置，這會涉及到大量不同的安全編程接口和默認設置。這些復雜性增加了藍牙受到攻擊的可能性和影響面。攻擊者k可以利用該漏洞對兩個設備之間傳輸的數據進行監聽和操縱，進而導致個人身份信息和敏感信息泄露并被跟蹤。以下是給您的一些建議：1、購買藍牙硬件錢包前，確認設備藍牙類型和版本，避免有漏洞歷史的版本；2、盡量不要在公眾場合和人多的場景使用藍牙硬件錢包；3、設備不使用時，藍牙功能請保持關閉狀態；4、可以考慮二維碼傳輸數據的硬件錢包，安全透明更省心。

Tags：區塊鏈比特幣加密貨幣EDR區塊鏈是什么多選題比特幣富了多少中國人買htb幣加密貨幣能退款嗎Minedrop

TUSD