使用蓝牙传输数据的硬件钱包安全吗？

本文作者：CoboVault安全练习生

2019年8月，CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth)，CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli，德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现，漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1，影响超过10万台开启蓝牙的设备，包括智能手机、笔记本电脑、物联网设备和工业设备等。

巴西税务机关：7月巴西使用加密货币人数超100万:金色财经报道，巴西税务机关RFB披露了与7月份有关的加密货币报表数据。本月有超过100万巴西人申报使用加密货币。这是自2019年以来报告的最高人数。相比之下，在2022年5月，只有36.5万公民向RFB报告他们的加密货币持有量和交易。此外，统计数据显示，女性在该国使用加密货币的情况越来越活跃。根据数据，女性进行的加密货币交易数量上升了4%，该群体在7月份的交易中占了近20%。

据悉，巴西法律规定，所有加密货币持有者必须向该机构报告他们的信息，即使没有使用中心化交易所进行交易。（Bitcoin.com）[2022/9/7 13:13:44]

蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输，再到以低功耗为主打的物联网传输，蓝牙的应用场景越来越广泛。

委内瑞拉公民使用区块链投票平台Voatz参与非官方的反马杜罗公投:12月15日消息，数百万委内瑞拉人在区块链投票平台Voatz和Telegram上进行非正式公投。这次选举是由委内瑞拉反对派领导人胡安·瓜伊多（Juan Guaido）策划的，他是一位受到美国支持的政界人士。瓜伊多以舞弊为由抵制了最近的议会选举。执政的马杜罗政权最终控制了国民议会，获得了近70%的选票。但这次选举受到了西方政府的严厉批评。但随着官方民调的投票率创下31%的新低，美国及其盟友将信心寄托在瓜伊多身上。

周末，瓜伊多敦促他的支持者以及其他反对党的支持者前往区块链投票平台Voatz在公投中投票。该平台此前曾被西弗吉尼亚州、科罗拉多州和犹他州的地方政府当局用于相关功能。类似的投票也在Telegram上进行，Telegram是加密社区偏好的聊天应用。据ABC报道，大约有650万人参加了投票，不过瓜伊多尚未透露选民的具体投票情况。至少有一半的选民在网上使用了区块链技术支持的解决方案，其余的选民则在全国各地安装的专门投票站进行投票。（Cryptonews）[2020/12/15 15:15:32]

国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么，KNOB会对这些硬件钱包产生威胁么？

动态 | 纳斯达克数据提供商Brave New Coin的流动性指数将暂停使用Bitfinex数据:由于担心Bitfinex交易所的价格差异和缺乏透明度，纳斯达克比特币指数BLX和以太坊指数ELX提供商Brave New Coin（BNC）决定从UTC时间5月10日6点（北京时间5月10日14点）开始，从其比特币、以太坊和XRP流动性指数中移除Bitfinex数据，等待进一步审查。[2019/5/10]

今天小编就给大家解剖一下蓝牙漏洞KNOB！

金色相对论 | 相里朋：区块链被违法使用会给实体经济造成风险:在本期金色相对论上，工信部5所高级工程师相里朋表示，区块链当前仍处于发展初期，但相比去年，已在在各行各业应用探索，有了有较大的发展，也暴露出诸多问题与风险。其中，既有内在技术不成熟引发的风险；也有外在不当使用和违法使用导致的风险。技术的不完善虽有较大风险，但总有解决的途径，因此后者更应引起我们的关注。技术层面的问题有：系统存在安全风险、效率低难以满足应用需求、数据泄露风险、智能合约漏洞、生产系统漏洞和记账系统漏洞等。非技术层面的问题有：ICO（代币发行融资）、不当使用和违法使用等。比如，相比无通证（Token）的区块链，自带通证（Token）的区块链能构建起通证经济生态，有利于数据协同实现数据增值。然而，其违背金融规律，触犯监管法规，有可能引起局部性、甚至系统性风险。这将给这个新事物造成严重影响，阻碍其发挥服务实体经济的作用。[2018/8/31]

首先，我们对蓝牙的类型做个简单了解：

传统蓝牙适用于短距离持续的无线连接，比如将图片从手机A传到手机B，蓝牙耳机听歌等。出于安全考虑，两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥，熵值越大表示越安全。

KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。

经研究发现，熵协商的过程使用的是LMP协议，该协议既不加密也不进行验证，因此可以通过无线方式进行攻击挟持和操作。

具体过程如下：

KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节，这样就可以很容易地对协商的加密密钥进行暴力破解。

我们总结一下KNOB攻击的必要条件：

1、两个设备都是蓝牙BR/EDR设备，且存在KNOB漏洞；

2、攻击者需要在设备的连接物理范围内；

3、由于熵协商需要在每次启用加密的时候都发生，且被攻击的时间窗口非常小，因此攻击者需要非常快速的重复攻击；

了解KNOB的原理后，小编个人认为蓝牙硬件钱包还是相对安全的，因为需要达到攻击条件真的非常困难。

然而和所有无线技术一样，蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置，这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵，进而导致个人身份信息和敏感信息泄露并被跟踪。

以下是给您的一些建议：

1、购买蓝牙硬件钱包前，确认设备蓝牙类型和版本，避免有漏洞历史的版本；

2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包；

3、设备不使用时，蓝牙功能请保持关闭状态；

4、可以考虑二维码传输数据的硬件钱包，安全透明更省心。

标签：区块链加密货币ELEBIT区块链通俗易懂的例子有哪些加密货币和数字货币的区别和联系Electroneumbitkeep交易所官网版

FTT热门资讯