普渡大學大學信息保障和安全教育與研究中心（CERIAS）的一組研究人員最近發(fā)現(xiàn)了一個漏洞，該漏洞會影響許多運行藍牙的物聯(lián)網(wǎng) (IoT)設備。

BLE 設備依賴于配對，這是一個關鍵的過程，在兩個設備第一次連接時建立信任。一旦配對，BLE 設備之間的重新連接通常對用戶是透明的。該漏洞存在于先前配對的 BLE 設備的重新連接過程中。此外，在典型的使用場景中，重新連接經(jīng)常發(fā)生 . 藍牙設備通常會超出范圍，然后在以后再次移動到范圍內(nèi)，然后重新與以前配對的設備建立連接。所有這些都會在沒有用戶通知的情況下繼續(xù)進行。

在發(fā)現(xiàn) BLE 規(guī)范的設計漏洞之后，研究人員分析了主流 BLE 堆棧實現(xiàn)，包括 Linux，Android，iOS 和 Windows 上的 BLE 協(xié)議堆棧，以查看 “真實設備”是否容易受到安全漏洞的影響。被測試的設備中的三個被確定為易受攻擊，因為它們無法確保所連接的 IoT 設備對其數(shù)據(jù)進行身份驗證并接受未經(jīng)身份驗證的數(shù)據(jù)。

此漏洞對支持 BLE 通信的主流平臺（包括 Linux，Android 和 iOS）產(chǎn)生廣泛影響。根據(jù)最近的一項研究，超過 10 億個 BLE 設備不使用應用程序層安全性，這本可以提供第二道防線。至少 8000 個 Android BLE 應用程序安裝了 23.8 億個，以明文形式從 BLE 設備讀取數(shù)據(jù)。類似的數(shù)字可能適用于 iOS 應用程序。

研究人員得出的結論是，他們的發(fā)現(xiàn)表明該漏洞可能影響超過 10 億個 BLE 設備和 16,000 個 BLE 應用程序。

如何保護已啟用藍牙的移動設備

1. 確保僅連接到使用最新藍牙版本的設備

有兩個因素使新的藍牙版本與舊版本不同 - 配對算法和加密算法。藍牙版本從 4.0 到 5.0 使用橢圓曲線 P-256 配對算法和 AES-CCM 加密算法。另一方面，版本 2.0 到 4.0 的藍牙設備分別使用橢圓曲線 P-192 和 E1 / SAFER + 配對和加密算法。

在不涉及技術方面的情況下，請務必注意，版本 4.0 到 5.0 的配對和加密算法比舊版本的配對和加密算法更安全。當您將設備連接到 4.0 藍牙版本或更高版本時，黑客很難侵入您的網(wǎng)絡。

2. 使用 “密碼輸入”（而不是 “ Just Works”）配對設備

密碼輸入是一種配對機制，使兩個設備之間的 PIN 配對過程變得復雜且難以滲透。為了使設備加入另一個設備的藍牙網(wǎng)絡，必須輸入 6 位 PIN 碼。另一方面，Just Works 配對機制允許兩個設備連接而無需 PIN。但是，盡管此機制更快，但更容易受到黑客攻擊。

3. 使用 AES 加密

在兩個連接的設備之間發(fā)送通信時，首先使用 AES 加密算法對其進行加密將更加安全。數(shù)據(jù)到達另一端后必須解密，這意味著間諜在傳輸過程中將無法竊取數(shù)據(jù)。

4. 使您的設備 “無法發(fā)現(xiàn)”

默認情況下，只要您打開設備，其他啟用藍牙的設備就會發(fā)現(xiàn)您的設備。重要的是，將藍牙設置更改為 “不可發(fā)現(xiàn)”，并且僅在需要連接到受信任的設備時才使其可發(fā)現(xiàn)。

5. 避免在公共場合連接設備

在公共場所對設備進行配對時，半徑 50 米內(nèi)的黑客可以輕易跳入連接并篡改數(shù)據(jù)。確保僅連接到已知設備，尤其是當您去參加計劃的活動時，因為這些計劃的活動將使黑客有足夠的時間來組織和制定數(shù)據(jù)竊取的策略。開啟藍牙之前，請始終確保您在家，辦公室或孤立的地方。

6. 使用密碼保護您的重要數(shù)據(jù)

如果您的智能手機包含任何敏感數(shù)據(jù)，請確保將其妥善保存在受密碼保護的文件中。即使黑客通過藍牙訪問了您的手機，他也沒有任何可竊取的價值。

倫茨科技擁有自主研發(fā)數(shù)傳應用芯片BLE 5.0和高速傳輸芯片BLE 5.1并具有全球知識產(chǎn)權 ，針對企業(yè)用戶和個人消費者，提供智能音頻類全套量產(chǎn)產(chǎn)品的解決方案，配套全方位APP軟件平臺定制開發(fā)。隨著物聯(lián)網(wǎng)基礎設施逐漸布局，倫茨科技已在共享經(jīng)濟、人臉識別，美顏/美妝，直播云臺、智慧醫(yī)療、個人洗護，人機交互等多個領域獨具優(yōu)勢。

最新推出的ST17H62藍牙BLE5.0芯片，支持藍牙Mesh，支持一對多，多對多等控制模式，為照明企業(yè)提供“交鑰匙”式解決方案，備有全面詳細的參考設計，方便客戶快速開發(fā)產(chǎn)品和面市，第一時間搶占智能照明先機。

BLE5.0 ST17H62藍牙芯片特征