XRP:使用藍牙傳輸數據的硬件錢包安全嗎？

本文作者：CoboVault安全練習生

2019年8月，CVE更新了一則代號為CVE-2019-9506的藍牙漏洞KNOB(Key-Negotiation-of-Bluetooth)，CVSS評分高達9.3分。該漏洞由新加坡SUTD的研究人員DanieleAntonioli，德國CISPA的NilsOleTippenhauer博士和英國牛津大學的KasperRasmussen教授發現，漏洞范圍橫跨藍牙BR/EDR藍牙核心規范版本1.0至5.1，影響超過10萬臺開啟藍牙的設備，包括智能手機、筆記本電腦、物聯網設備和工業設備等。

肯尼亞執法機構逮捕兩名使用被盜資金購買比特幣的學生:金色財經報道，肯尼亞執法機構刑事調查局 (DCI) 表示，已逮捕兩名大學生，指控他們竊取信用卡并使用這些信用卡“購買比特幣并將其轉換為肯尼亞貨幣”。該機構解釋說：學生們創建了虛假的電子郵件賬戶，他們用這些賬戶來破解無辜者的信用卡，尤其是那些生活在國外的人，并用它們來購買比特幣。（news.bitcoin）[2022/6/18 4:37:32]

藍牙協議的問世和普及已經有25年的歷史。從音頻傳輸、圖文傳輸、視頻傳輸，再到以低功耗為主打的物聯網傳輸，藍牙的應用場景越來越廣泛。

國內外很多硬件錢包也采用了藍牙技術來完成冷熱端的信息傳輸。那么，KNOB會對這些硬件錢包產生威脅么？

分析 | 銀行反對使用XRP是因交易隱私、成本和替代方案等因素:James Sangalli在Medium發文，試圖解釋為什么銀行現在反對使用XRP作為基礎貨幣，而希望使用Ripple開發的其他支付解決方案。他提到隱私是許多銀行回避XRP的一個因素。當使用Ripple的xRapid將XRP納入跨境交易時，交易并不是私有的，這意味著其他競爭對手的銀行可以跟蹤銀行的交易活動和交易量。沒有一家銀行希望如此——尤其是如果它是一家大銀行的話。 此外，與使用其他替代方案相比，使用XRP對銀行來說成本更高。R3的Corda平臺是一種廉價的替代產品。此外，有了這種選擇，銀行可以選擇保持交易的私密性。雖然銀行看起來對區塊鏈技術和加密貨幣很友好，但它們仍在暗中扼殺其發展。事實上，正如他指出的，銀行經常關閉似乎在進行加密業務的客戶賬戶。（Zycrypto）[2019/9/16]

今天小編就給大家解剖一下藍牙漏洞KNOB！

V神：不會學EOS使用主節點的方式來增強ETH的擴展性:以太坊創始人V神（Vitalik Buterin）在Github回復社區成員建議學習EOS使用主節點方式增強以太坊的擴展性。V神說，這并不會提高可擴展性。創建塊的努力和驗證塊的努力是完全相同的，而驗證塊的努力確實是瓶頸。EOS的可擴展性不是因為DPOS或類似的東西，其聲稱的可擴展性完全來自這樣一個事實，即它要求每個節點具有更高的計算能力，這使得除大型企業之外的任何人都無法運行完整的節點。我們也可以這樣做，但不會，因為這與去中心化的目標相悖。[2018/1/27]

首先，我們對藍牙的類型做個簡單了解：

傳統藍牙適用于短距離持續的無線連接，比如將圖片從手機A傳到手機B，藍牙耳機聽歌等。出于安全考慮，兩個藍牙BR/EDR設備在進行安全連接配對時可以協商一個1-16個字節的熵值作為加密密鑰，熵值越大表示越安全。

KNOB漏洞就出現在傳統藍牙設備熵協商的過程中。

經研究發現，熵協商的過程使用的是LMP協議，該協議既不加密也不進行驗證，因此可以通過無線方式進行攻擊挾持和操作。

具體過程如下：

KNOB漏洞允許攻擊者對兩個目標設備進行欺騙使其同意將加密密鑰的熵值設定為1字節，這樣就可以很容易地對協商的加密密鑰進行暴力破解。

我們總結一下KNOB攻擊的必要條件：

1、兩個設備都是藍牙BR/EDR設備，且存在KNOB漏洞；

2、攻擊者需要在設備的連接物理范圍內；

3、由于熵協商需要在每次啟用加密的時候都發生，且被攻擊的時間窗口非常小，因此攻擊者需要非常快速的重復攻擊；

了解KNOB的原理后，小編個人認為藍牙硬件錢包還是相對安全的，因為需要達到攻擊條件真的非常困難。

然而和所有無線技術一樣，藍牙通信容易受到各種威脅。因為藍牙技術使用了各種各樣的芯片組、操作系統和物理設備配置，這會涉及到大量不同的安全編程接口和默認設置。這些復雜性增加了藍牙受到攻擊的可能性和影響面。攻擊者k可以利用該漏洞對兩個設備之間傳輸的數據進行監聽和操縱，進而導致個人身份信息和敏感信息泄露并被跟蹤。

以下是給您的一些建議：

1、購買藍牙硬件錢包前，確認設備藍牙類型和版本，避免有漏洞歷史的版本；

2、盡量不要在公眾場合和人多的場景使用藍牙硬件錢包；

3、設備不使用時，藍牙功能請保持關閉狀態；

4、可以考慮二維碼傳輸數據的硬件錢包，安全透明更省心。

Tags：XRPEOSEDR買比特幣zbc幣和xrp幣哪個有潛力EOSJacksEDRCoin穿越回2009年怎么買比特幣

比特幣最新價格