使用藍牙傳輸數據的硬件錢包到底安全嗎？_穩定幣:數字人民幣什么時候全國使用時間

本文作者：CoboVault安全練習生2019年8月，CVE更新了一則代號為CVE-2019-9506的藍牙漏洞KNOB(Key-Negotiation-of-Bluetooth)，CVSS評分高達9.3分。該漏洞由新加坡SUTD的研究人員DanieleAntonioli，德國CISPA的NilsOleTippenhauer博士和英國牛津大學的KasperRasmussen教授發現，漏洞范圍橫跨藍牙BR/EDR藍牙核心規范版本1.0至5.1，影響超過10萬臺開啟藍牙的設備，包括智能手機、筆記本電腦、物聯網設備和工業設備等。

Magnum Mining將使用數字孿生和區塊鏈技術認證“綠色鋼鐵”:7月29日消息，澳大利亞礦產勘探公司Magnum Mining and Exploration已與軟件公司Tymlez簽訂合同，將為內華達生鐵廠創建完整生產鏈的數字孿生模型，并使用區塊鏈技術認證其“綠色鋼鐵”。Tymlez平臺將為其生產的每噸鐵礦石提供原產地保證（Guarantee of Origin）證書。（Mining Magazine）[2022/7/29 2:46:41]

藍牙協議的問世和普及已經有25年的歷史。從音頻傳輸、圖文傳輸、視頻傳輸，再到以低功耗為主打的物聯網傳輸，藍牙的應用場景越來越廣泛。國內外很多硬件錢包也采用了藍牙技術來完成冷熱端的信息傳輸。那么，KNOB會對這些硬件錢包產生威脅么？今天小編就給大家解剖一下藍牙漏洞KNOB！

深圳：率先完成香港居民在內地使用數字人民幣的測試工作:金色財經報道，人民日報今日頭版刊文《跑出加速度 邁上新臺階》，文章透露，日前長期在深圳工作的香港居民梁女士，通過回鄉證完成了銀行卡綁定，并使用數字人民幣購買了一條項鏈，這也標志著深圳在全國率先完成了面向香港居民在內地使用數字人民幣的測試工作，為下一步推動數字人民幣深港跨境流通、解決跨境旅游等經常項目的支付奠定了實踐基礎。[2021/9/13 23:21:05]

首先，我們對藍牙的類型做個簡單了解：

動態 | 摩根大通：肯定穩定幣的增長潛力 但其使用量增長可能會超過網絡安全支持極限:摩根大通在9月5日發布的一份分析報告中肯定了包括Libra在內的穩定幣的增長潛力，但該報告同時也提到，穩定幣缺乏其他支付系統的短期流動性，因此其使用量的增長可能會超過網絡能夠安全支持的速度。 摩根大通認為，如果這些（穩定幣）網絡在全球交易活動中占據相當大的比例，就應謹慎行事。其解釋稱：“按照目前的設計和提議，他們沒有考慮到這種支付系統運作的微觀結構。支付系統癱瘓風險可能會對宏觀經濟造成嚴重后果，尤其是在壓力時期。” 報告中指出的另一個風險是負收益率。Libra將依賴其法定貨幣儲備賬戶抵押品的收入，然而大多數主要貨幣的收益率已經為負，且趨勢表明全球貨幣政策將進一步放寬。（Cointelegraph）[2019/9/6]

傳統藍牙適用于短距離持續的無線連接，比如將圖片從手機A傳到手機B，藍牙耳機聽歌等。出于安全考慮，兩個藍牙BR/EDR設備在進行安全連接配對時可以協商一個1-16個字節的熵值作為加密密鑰，熵值越大表示越安全。KNOB漏洞就出現在傳統藍牙設備熵協商的過程中。經研究發現，熵協商的過程使用的是LMP協議，該協議既不加密也不進行驗證，因此可以通過無線方式進行攻擊挾持和操作。具體過程如下：

KNOB漏洞允許攻擊者對兩個目標設備進行欺騙使其同意將加密密鑰的熵值設定為1字節，這樣就可以很容易地對協商的加密密鑰進行暴力破解。我們總結一下KNOB攻擊的必要條件：

1、兩個設備都是藍牙BR/EDR設備，且存在KNOB漏洞；2、攻擊者需要在設備的連接物理范圍內；3、由于熵協商需要在每次啟用加密的時候都發生，且被攻擊的時間窗口非常小，因此攻擊者需要非常快速的重復攻擊；了解KNOB的原理后，小編個人認為藍牙硬件錢包還是相對安全的，因為需要達到攻擊條件真的非常困難。然而和所有無線技術一樣，藍牙通信容易受到各種威脅。因為藍牙技術使用了各種各樣的芯片組、操作系統和物理設備配置，這會涉及到大量不同的安全編程接口和默認設置。這些復雜性增加了藍牙受到攻擊的可能性和影響面。攻擊者k可以利用該漏洞對兩個設備之間傳輸的數據進行監聽和操縱，進而導致個人身份信息和敏感信息泄露并被跟蹤。以下是給您的一些建議：1、購買藍牙硬件錢包前，確認設備藍牙類型和版本，避免有漏洞歷史的版本；2、盡量不要在公眾場合和人多的場景使用藍牙硬件錢包；3、設備不使用時，藍牙功能請保持關閉狀態；4、可以考慮二維碼傳輸數據的硬件錢包，安全透明更省心。

Tags：穩定幣數字人EDRMAG香港穩定幣叫什么數字人民幣什么時候全國使用時間MEMEDROPImage Generation AI

中幣交易所