导读:根据2020蓝牙市场更新的数据,今年将有46亿台使用蓝牙技术的设备上市。
蓝牙的出现给我们的生活带来了很大的便利,但我们偶然还是会看到一些关于蓝牙安全的科技新闻。其中不乏一些的"蓝牙安全缺陷使数百万设备处于危险当中",或者"蓝牙漏洞使你的设备容易受到攻击"等等。而本文主要是想正确地阐述关于蓝牙安全的问题。
安全研究所与蓝牙技术联盟的合作
安全研究所和蓝牙技术联盟(SIG)之间存在着一种有计划、有目的的合作关系,SIG是一个非营利的行业协会,主要负责监督蓝牙技术。
蓝牙技术联盟鼓励社区积极审查规范,因为这些规范都是公开的。在实验室的特定环境中,发现和查找这些漏洞是不容易的。
我们现在使用和依赖的科技技术,对其的安全性关注是十分必要的,而蓝牙技术联盟以及他的成员们也在时刻关注着蓝牙的使用是否产生了威胁行为。无线蓝牙的便捷性和重要性对我们来说不言而喻,同时确保其安全性更为关键,这也是蓝牙安全技术一直在不断改进的重要原因。
蓝牙技术的发展
通过20年的努力,蓝牙SIG与其成员公司合作,使蓝牙技术成为现实无线低功耗的标准。根据2020蓝牙市场更新的数据,今年将有46亿台使用蓝牙技术的设备上市。
我们已经确保蓝牙技术可以从一个简单但出色的无线音频配对解决方案发展到智能建筑、智能工业和智能城市等新兴市场物联网智能自动化的基础。
为了提供卓越的蓝牙连接,我们与成员社区中的近36000家公司合作,每个公司都使用蓝牙技术作为各种应用的连接组织。
传统产业和新兴产业的发展,以及维持这些产业所需的互联设备的爆炸式增长,意味着安全性必须始终是技术专业人士的首要考虑。然而,安全实现既不是交钥匙,也不是一刀切。让蓝牙技术真正普及是很不容易的。
因为蓝牙无处不在,但实际上不可能无处不在。
蓝牙的无所不在正是蓝牙SIG开发了一种三管齐下的方法来优先考虑安全性和保护蓝牙技术。
该方法解决了蓝牙规范和接口中的安全问题,为蓝牙SIG成员提供了持续的安全教育。教育部分包括蓝牙安全响应程序。它还专门为蓝牙技术的不断创新和迭代留下空间。
没有技术是完美无缺的。通过解释蓝牙SIG的安全过程的范围和意图,我们希望为有关蓝牙安全的叙述提供一个教育性的视角,并将其从头条新闻转移到一个对我们的安全过程透明化的视角,这将继续加强现有的保护,并引入新的安全措施,以满足不断变化的连接环境要求。
规范:所有蓝牙设备的构建板块
为了理解安全性,理解蓝牙技术的组成部分-蓝牙规范是很重要的。
本质上,规范是开发人员用来在蓝牙设备之间建立连接和互操作性的需求。除了音频流和简单的数据传输之外,蓝牙的更多用例已经出现,包括设备网络和所有应用的定位服务。蓝牙的应用包括工业资产跟踪到商业照明。
随着蓝牙规范的扩展,它们所包含的安全措施也不得不随之扩展。
最突出的蓝牙规范是核心规范,它定义了开发人员用来创建可互操作设备的基本构建块,这些设备构成了蓬勃发展的蓝牙生态系统。
但也有100多个附加的配置文件和协议规范定义了如何构建从可互操作的蓝牙耳机到创建用于照明控制的大规模蓝牙网状设备网络。
开发者指南
开发人员遵循每个规范中的指导原则,以便根据产品设计的需要来实现调整。
每个规范都有自己的技术和工具,允许开发人员解决产品的安全预防措施和蓝牙设备之间的安全通信。
可以将其视为一个工具箱,开发人员可以从中选择为其产品实现适当的安全级别。蓝牙低能耗产品开发人员可以使用的一些安全功能包括:
防止被动窃听
防止中间人(MITM)攻击
利用AES-CCM加密技术在两个蓝牙低能设备之间进行加密通信
隐私和身份跟踪保护
安全审查
虽然规范在开发过程中要经过安全性审查,但要由SIG的36000个成员中的每一个选择实现它们所需的最佳安全选项。
例如,工厂中启用蓝牙功能的状态监测系统需要与无线鼠标显著不同的安全功能。这是由开发人员选择必要的安全功能来实现在他们的蓝牙产品。
蓝牙规范提供了这些选项和灵活性,这使蓝牙技术在各种低功耗无线技术中独树一帜。
这些选项使成员可以自由选择其产品的最佳安全功能,但这也可能意味着成员可能会选择不足以满足其应用程序的安全或隐私功能。这就引出了第二部分——教育。
教育:设计、开发和部署安全蓝牙设备的工具
为了帮助会员为他们的应用选择合适的安全选项,蓝牙SIG定期发布学习指南、培训视频和各种各样的其他教育材料。
这些教材解释了为什么某些安全选项在特定应用程序中比其他安全选项更有效。它们还解释了每个规范中常见的安全风险以及如何最好地避免它们。
常见的实施最佳做法包括:
遵循最新版本的蓝牙规范,以确保开发者有最新的指导
记录产品设计的安全要求,以便在实施过程中使用适当的安全性
测试和审核实现的安全特性
确保UX接口向用户提供任何安全或隐私问题的适当通知
在开发任何面向外部数据源(尤其是无线数据源)的接口时实施安全编码实践
虽然这些教材为会员指明了正确的方向,但蓝牙技术是一个开放的全球标准。蓝牙SIG及其成员在安全研究社区的帮助下共同负责生产安全的蓝牙设备和应用程序。
社区:分担蓝牙安全的责任
蓝牙SIG与安全研究界有着长期的工作关系。这种工作关系过程的一部分是鼓励对技术进行持续审查,并通过蓝牙安全响应计划报告规范内的漏洞。
响应程序确保报告的漏洞在我们的成员组织中得到调查、解决和沟通。
例如,去年,洛桑理工学院(EPFL)的研究人员帮助揭露了蓝牙BR/EDR连接中的配对缺陷。
缺陷报告提交后会发生什么?
一旦报告,Bluetooth SIG就可以快速修复漏洞——为成员提供建议,以便在核心规范可以彻底更新的同时集成任何必要的补丁——并快速更新。
蓝牙技术的不断完善,保证了SIG-EPFL的安全性和成员间的协作。像这样的关系使我们能够快速解决任何由蓝牙技术的新发展引起的安全问题。
任重而道远
蓝牙技术的潜力和力量继续增长。随着每年数十亿新的蓝牙设备的出货,蓝牙无线技术已经嵌入到我们的生活中。
蓝牙把我们彼此联系起来,也是我们周围世界的纽带。随着社区不断扩展蓝牙技术的功能,它的关键焦点是确保我们的蓝牙通信保持安全。