本文作者:CoboVault安全练习生
2019年8月,CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli,德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现,漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。
乌克兰数字转型部考虑使用CBDC进行员工工资发放试点:乌克兰副总理兼国家数字转型部部长Mikhail Fedorov在采访中透露,他主张推出央行数字货币数字格里夫纳(e-hryvnia), 并计划首先使用它向数字转型部员工支付工资,从而进行测试以防止不当使用。
据此前报道,乌克兰政府正在推进其央行数字货币(CBDC)计划,该国央行NBU现在正式获得发行数字货币的授权。乌克兰总统Volodymyr Zelenskyy签署了一项名为“支付服务(On Payment Services)”的法律,正式允许该国央行发行数字格里夫尼亚(CBDC)。新法授权NBU设立监管沙盒,用于测试基于新兴技术的支付服务和工具。声明称,新法案还要求乌克兰央行与当地支付市场的初创企业密切合作,同时考虑到私营部门的需求。(Cointelegraph)[2021/8/19 22:23:22]
蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输,再到以低功耗为主打的物联网传输,蓝牙的应用场景越来越广泛。
印度加密交易所Unocoin将允许用户使用比特币购买品牌代金券:印度加密货币交易所Unocoin将允许其用户使用比特币从主要品牌购买代金券。尽管在美国和其他国家有几种加密货币支付选项,但Unocoin的服务是第一个允许印度人使用其比特币购买日常产品和服务的主要加密货币支付服务。完成KYC流程的Unocoin用户将能够购买价值100卢比-5000卢比的代金券。Unocoin首席执行官兼联合创始人Sathvik Vishwanath表示,代金券的价值因品牌而异。用户将能够为时尚、旅游、生活方式、服装、配件和酒店等细分市场的品牌购买代金券。一些知名品牌包括达美乐比萨(Domino's Pizza)、医药保健公司Himalaya、在线旅行社Yatra.com、珠宝品牌Joyalukkas、Baskin-Robbins冰淇淋、厨房用具品牌Prestige和印度咖啡连锁店Café Coffee Day。(Forkast)[2021/8/9 1:44:05]
国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?
动态 | 拉斯维加斯者诱使用户使用比特币支付水电等费用:据livebitcoinnews消息,近期美国内华达州拉斯维加斯市出现数字货币活动,者给用户打电话称其有水电费、通讯费等逾期账单未进行支付,如果不在一到两个小时之内使用比特币进行支付,将面临断电停水等问题。据此前报道,该也曾出现在夏威夷州。[2018/9/19]
今天小编就给大家解剖一下蓝牙漏洞KNOB!
动态 | 伊朗正在考虑使用加密货币躲避美国的制裁:7月16日消息,伊朗议会经济委员会主席Mohammad Reza Pour-Ebrahimi表示,数字货币可以成为逃避美国制裁和摆脱美元霸权的重要途径,议会将很快讨论这个问题。随着美国对伊朗的经济制裁迫在眉睫,伊朗的货币面临通货膨胀,最近几个月里亚尔已经失去了一半的价值。[2018/7/16]
首先,我们对蓝牙的类型做个简单了解:
传统蓝牙适用于短距离持续的无线连接,比如将图片从手机A传到手机B,蓝牙耳机听歌等。出于安全考虑,两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥,熵值越大表示越安全。
KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。
经研究发现,熵协商的过程使用的是LMP协议,该协议既不加密也不进行验证,因此可以通过无线方式进行攻击挟持和操作。
具体过程如下:
KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节,这样就可以很容易地对协商的加密密钥进行暴力破解。
我们总结一下KNOB攻击的必要条件:
1、两个设备都是蓝牙BR/EDR设备,且存在KNOB漏洞;
2、攻击者需要在设备的连接物理范围内;
3、由于熵协商需要在每次启用加密的时候都发生,且被攻击的时间窗口非常小,因此攻击者需要非常快速的重复攻击;
了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难。
然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。
以下是给您的一些建议:
1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;
2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;
3、设备不使用时,蓝牙功能请保持关闭状态;
4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。