火星链 火星链
Ctrl+D收藏火星链

THE:使用蓝牙传输数据的硬件钱包安全吗?

作者:

时间:1900/1/1 0:00:00

本文作者:CoboVault安全练习生

2019年8月,CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli,德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现,漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。

加密钱包Lumi Wallet允许用户使用Apple Pay购买加密货币:12月13日消息,非托管加密钱包Lumi Wallet宣布整合Apple Pay,允许苹果用户使用Apple Pay在该钱包中购买BTC、ETH和其他加密货币。(Trustnodes)[2020/12/13 15:02:07]

蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输,再到以低功耗为主打的物联网传输,蓝牙的应用场景越来越广泛。

国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?

今天小编就给大家解剖一下蓝牙漏洞KNOB!

美国俄勒冈州居民使用去中心化网络Althea,并以加密货币支付中继费用:冠状病对全美国的经济造成了严重破坏,俄勒冈州克拉茨克尼(Clatskanie)的许多居民无法获得互联网提供商(ISP)的服务。这种情况促使该镇采用了称为Althea的去中心化网络meshnet ISP,该网络的用户以加密货币支付中继费用。Althea用户目前可以接受两种加密货币,分别是DAI和ETH。(Bitcoin.com)[2020/4/2]

动态 | 美国保险巨头将于年底前使用区块链支付保险索赔:据coindesk报道,美国保险巨头State Farm和USAA周四宣布,已进入对区块链系统的高级测试阶段,以实现汽车索赔的自动化。两家公司使用摩根大通的Quorum开发了这个系统。现在,两家公司正在使用真实的索赔数据测试,并预计将在今年年底前投入生产。据悉,企业间的付款是连续处理的,通常要求在保险公司之间按索赔方式邮寄纸质支票。新的区块链系统可以清除付款余额(每月达到数千个),并促进保险公司之间的定期付款。[2019/5/31]

首先,我们对蓝牙的类型做个简单了解:

声音 | 研究人员:黑客修改StatCounter分析平台使用的avaScript并嵌入Gate.io页面:据theregister消息,ESET的研究人员发现,StatCounter分析平台使用的JavaScript已经被攻击者修改,其目的是将其嵌入到加密货币交易所Gate.io的页面中。据悉,该脚本试图将比特币交易重定向到攻击者控制的几个钱包地址之一。研究人员称,由于攻击者使用多个帐户来接收被盗资金,所以并不能确切知道被盗的数量。然而,他们认为损失可能很大。ESET表示已通知两家公司此次袭击事件,但目前尚未收到Gate.io回复评论请求,也无法联系到StatCounter。[2018/11/7]

传统蓝牙适用于短距离持续的无线连接,比如将图片从手机A传到手机B,蓝牙耳机听歌等。出于安全考虑,两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥,熵值越大表示越安全。

KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。

经研究发现,熵协商的过程使用的是LMP协议,该协议既不加密也不进行验证,因此可以通过无线方式进行攻击挟持和操作。

具体过程如下:

KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节,这样就可以很容易地对协商的加密密钥进行暴力破解。

我们总结一下KNOB攻击的必要条件:

1、两个设备都是蓝牙BR/EDR设备,且存在KNOB漏洞;

2、攻击者需要在设备的连接物理范围内;

3、由于熵协商需要在每次启用加密的时候都发生,且被攻击的时间窗口非常小,因此攻击者需要非常快速的重复攻击;

了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难。

然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。

以下是给您的一些建议:

1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;

2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;

3、设备不使用时,蓝牙功能请保持关闭状态;

4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。

标签:加密货币STATATTHE加密货币市场规模多大pSTAKE FinanceZATATZUethereumhd

火币网下载官方app热门资讯
比特币价格:新华网:“炒币”“挖矿”再度火爆,警惕披着区块链“马甲”的金融

记者:王淑娟、高少华、李丽静来源:新华社“区块链应用场景落地,XX币躺着也能赚大钱”“矿机一响,黄金万两”……早在2017年,国内虚拟货币交易和相关交易所就被监管叫停,但“新华视点”记者发现.

1900/1/1 0:00:00
THE:龙白滔推荐 | 走向明天的零售支付—欧洲的战略

文:Beno?tC?uré翻译:龙白滔点评:龙白滔点评欧洲央行执委Beno?tC?uré在本文中表达了欧洲金融精英群体对欧洲支付系统自主性的忧虑以及应对措施——欧元体系零售支付战略.

1900/1/1 0:00:00
UNI:观点 | DeFi 的支柱:去中心化流动性

加密货币最近最有趣的发展之一是去中心化流动性池的出现。以太坊的Uniswap等基于算法的智能合约流动性池正是引领这一潮流的例子。流入/流出的流动性对于金融市场的创建和增长至关重要.

1900/1/1 0:00:00
LIBRA:数字货币时代越来越近:从流通中的现钞入手,用于小额零售场景

经济日报·中国经济网记者陈果静来源:经济日报按照现阶段的设计,央行数字货币DC/EP是对M0的替代,而对于现钞是不计付利息的,因此,不会引发金融脱媒,也不会对实体经济产生大冲击.

1900/1/1 0:00:00
比特币:美国SEC主席:区块链技术发展有助于促进资本形成,为投资者提供投资机会

美国证券交易委员会似乎在加密行业中非常活跃,此前它几次尝试对该行业的各个方面进行规范。最近,SEC主席杰伊·克莱顿在参议院委员会作证以解决多个问题,包括区块链技术和加密货币.

1900/1/1 0:00:00
USD:QKL123行情分析 | 期待数字资产监管合规,海南省力争先行示范区(1203)

摘要:近日,大盘回落后持续震荡调整,整体呈缩量下行,但并未走出筹码相对集中的区间,短时不确定性较大.

1900/1/1 0:00:00