導讀:根據2020藍牙市場更新的數據,今年將有46億臺使用藍牙技術的設備上市。
藍牙的出現給我們的生活帶來了很大的便利,但我們偶然還是會看到一些關于藍牙安全的科技新聞。其中不乏一些的"藍牙安全缺陷使數百萬設備處于危險當中",或者"藍牙漏洞使你的設備容易受到攻擊"等等。而本文主要是想正確地闡述關于藍牙安全的問題。
安全研究所與藍牙技術聯盟的合作
安全研究所和藍牙技術聯盟(SIG)之間存在著一種有計劃、有目的的合作關系,SIG是一個非營利的行業協會,主要負責監督藍牙技術。
藍牙技術聯盟鼓勵社區積極審查規范,因為這些規范都是公開的。在實驗室的特定環境中,發現和查找這些漏洞是不容易的。
我們現在使用和依賴的科技技術,對其的安全性關注是十分必要的,而藍牙技術聯盟以及他的成員們也在時刻關注著藍牙的使用是否產生了威脅行為。無線藍牙的便捷性和重要性對我們來說不言而喻,同時確保其安全性更為關鍵,這也是藍牙安全技術一直在不斷改進的重要原因。
藍牙技術的發展
通過20年的努力,藍牙SIG與其成員公司合作,使藍牙技術成為現實無線低功耗的標準。根據2020藍牙市場更新的數據,今年將有46億臺使用藍牙技術的設備上市。
我們已經確保藍牙技術可以從一個簡單但出色的無線音頻配對解決方案發展到智能建筑、智能工業和智能城市等新興市場物聯網智能自動化的基礎。
為了提供卓越的藍牙連接,我們與成員社區中的近36000家公司合作,每個公司都使用藍牙技術作為各種應用的連接組織。
傳統產業和新興產業的發展,以及維持這些產業所需的互聯設備的爆炸式增長,意味著安全性必須始終是技術專業人士的首要考慮。然而,安全實現既不是交鑰匙,也不是一刀切。讓藍牙技術真正普及是很不容易的。
因為藍牙無處不在,但實際上不可能無處不在。
藍牙的無所不在正是藍牙SIG開發了一種三管齊下的方法來優先考慮安全性和保護藍牙技術。
該方法解決了藍牙規范和接口中的安全問題,為藍牙SIG成員提供了持續的安全教育。教育部分包括藍牙安全響應程序。它還專門為藍牙技術的不斷創新和迭代留下空間。
沒有技術是完美無缺的。通過解釋藍牙SIG的安全過程的范圍和意圖,我們希望為有關藍牙安全的敘述提供一個教育性的視角,并將其從頭條新聞轉移到一個對我們的安全過程透明化的視角,這將繼續加強現有的保護,并引入新的安全措施,以滿足不斷變化的連接環境要求。
規范:所有藍牙設備的構建板塊
為了理解安全性,理解藍牙技術的組成部分-藍牙規范是很重要的。
本質上,規范是開發人員用來在藍牙設備之間建立連接和互操作性的需求。除了音頻流和簡單的數據傳輸之外,藍牙的更多用例已經出現,包括設備網絡和所有應用的定位服務。藍牙的應用包括工業資產跟蹤到商業照明。
隨著藍牙規范的擴展,它們所包含的安全措施也不得不隨之擴展。
最突出的藍牙規范是核心規范,它定義了開發人員用來創建可互操作設備的基本構建塊,這些設備構成了蓬勃發展的藍牙生態系統。
但也有100多個附加的配置文件和協議規范定義了如何構建從可互操作的藍牙耳機到創建用于照明控制的大規模藍牙網狀設備網絡。
開發者指南
開發人員遵循每個規范中的指導原則,以便根據產品設計的需要來實現調整。
每個規范都有自己的技術和工具,允許開發人員解決產品的安全預防措施和藍牙設備之間的安全通信。
可以將其視為一個工具箱,開發人員可以從中選擇為其產品實現適當的安全級別。藍牙低能耗產品開發人員可以使用的一些安全功能包括:
防止被動竊聽
防止中間人(MITM)攻擊
利用AES-CCM加密技術在兩個藍牙低能設備之間進行加密通信
隱私和身份跟蹤保護
安全審查
雖然規范在開發過程中要經過安全性審查,但要由SIG的36000個成員中的每一個選擇實現它們所需的最佳安全選項。
例如,工廠中啟用藍牙功能的狀態監測系統需要與無線鼠標顯著不同的安全功能。這是由開發人員選擇必要的安全功能來實現在他們的藍牙產品。
藍牙規范提供了這些選項和靈活性,這使藍牙技術在各種低功耗無線技術中獨樹一幟。
這些選項使成員可以自由選擇其產品的最佳安全功能,但這也可能意味著成員可能會選擇不足以滿足其應用程序的安全或隱私功能。這就引出了第二部分——教育。
教育:設計、開發和部署安全藍牙設備的工具
為了幫助會員為他們的應用選擇合適的安全選項,藍牙SIG定期發布學習指南、培訓視頻和各種各樣的其他教育材料。
這些教材解釋了為什么某些安全選項在特定應用程序中比其他安全選項更有效。它們還解釋了每個規范中常見的安全風險以及如何最好地避免它們。
常見的實施最佳做法包括:
遵循最新版本的藍牙規范,以確保開發者有最新的指導
記錄產品設計的安全要求,以便在實施過程中使用適當的安全性
測試和審核實現的安全特性
確保UX接口向用戶提供任何安全或隱私問題的適當通知
在開發任何面向外部數據源(尤其是無線數據源)的接口時實施安全編碼實踐
雖然這些教材為會員指明了正確的方向,但藍牙技術是一個開放的全球標準。藍牙SIG及其成員在安全研究社區的幫助下共同負責生產安全的藍牙設備和應用程序。
社區:分擔藍牙安全的責任
藍牙SIG與安全研究界有著長期的工作關系。這種工作關系過程的一部分是鼓勵對技術進行持續審查,并通過藍牙安全響應計劃報告規范內的漏洞。
響應程序確保報告的漏洞在我們的成員組織中得到調查、解決和溝通。
例如,去年,洛桑理工學院(EPFL)的研究人員幫助揭露了藍牙BR/EDR連接中的配對缺陷。
缺陷報告提交后會發生什么?
一旦報告,Bluetooth SIG就可以快速修復漏洞——為成員提供建議,以便在核心規范可以徹底更新的同時集成任何必要的補丁——并快速更新。
藍牙技術的不斷完善,保證了SIG-EPFL的安全性和成員間的協作。像這樣的關系使我們能夠快速解決任何由藍牙技術的新發展引起的安全問題。
任重而道遠
藍牙技術的潛力和力量繼續增長。隨著每年數十億新的藍牙設備的出貨,藍牙無線技術已經嵌入到我們的生活中。
藍牙把我們彼此聯系起來,也是我們周圍世界的紐帶。隨著社區不斷擴展藍牙技術的功能,它的關鍵焦點是確保我們的藍牙通信保持安全。
