使用蓝牙传输数据的硬件钱包安全吗?
2019年8月,CVE (Common Vulnerabilities & Exposures,通用漏洞披露)更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员Daniele Antonioli,德国CISPA的Nils Ole Tippenhauer博士和英国牛津大学的Kasper Rasmussen教授发现,漏洞范围横跨蓝牙BR / EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。
国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?
KNOB漏洞就出现在传统蓝牙(BR/EDR)设备熵协商的过程中。
经研究发现,熵协商的过程使用的是LMP协议(Link Manager Protocol),该协议既不加密也不进行验证,因此可以通过无线方式(OTA)进行攻击挟持和操作。
具体过程如下:
我们总结一下KNOB攻击的必要条件:
了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难。
然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。
以下是给您的一些建议:
1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;
2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;
3、设备不使用时,蓝牙功能请保持关闭状态;
4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。
- 110 张图揭示加密市场现状:BTC 市占率超 52%,一季度稳定币供应量上涨 14%
- 2本周值得重点参与的3个链游项目:MapleStory Universe、AI ARENA、My Neighbor Alice「GameFi 猎手」
- 3AI 代币另一面:多数项目忙于金融利益,而非现实影响
- 4牛市如何暴富?关于加密市场的6点思考
- 5Bitget研究院:Runes协议上线导致BTC网络费用激增,BONK领涨Solana Meme
- 6加密货币文化的无限潜力
- 7一周融资速递 | 33家项目获投,已披露融资总额约1.26亿美元(4.15-4.21)
- 8Perplexity AI获6270万美元融资,估值10.4亿美元
- 9金色早报丨Unicross开通Merlin符文跨链桥 DePIN项目累计融资超过10亿美元