現(xiàn)在藍牙低功耗被認為是“智能”藍牙，但其實大多數(shù)安全智能技術(shù)都不是那么智能或者很容易被規(guī)避，特別是通過2016年黑帽大會上發(fā)布的新軟件代理工具。

[[170002]]

波蘭咨詢公司SecuRing安全研究人員Slawomir Jasek在黑帽大會上指出他對10臺藍牙LE(技術(shù)上稱為Bluetooth Smart，但通常被稱為BLE)設(shè)備進行了檢查，以查看它們是否使用了最新版藍牙中內(nèi)置的安全功能，結(jié)果只有兩臺設(shè)備在短距離無線協(xié)議中使用了藍牙LE安全功能。其他設(shè)備都試圖在其特定應(yīng)用中創(chuàng)建自己的安全控制。

問題在于，這些自己創(chuàng)建的安全控制很容易被經(jīng)典的中間人攻擊所破壞。Jase指出，產(chǎn)品設(shè)計師希望為消費者提供無縫的用戶體驗，而這通常會導(dǎo)致未經(jīng)授權(quán)配對以及不使用藍牙LE安全功能來加密會話等問題。

控制通信

為了在智能手機和藍牙LE設(shè)備之間的通信中插入惡意設(shè)備，攻擊者面臨的問題是，目標(biāo)設(shè)備將會宣傳其服務(wù)，而沒有辦法隔離信號以讓用戶的智能手機不會接收。Jasek問道：“你如何確保智能手機連接到你，而不是原始設(shè)備?”

這其實相當(dāng)簡單。由于原始設(shè)備會定期公布其可用性，攻擊設(shè)備可在更短的間隔宣傳其可用性，極大地提高智能手機找到攻擊設(shè)備的可能性。更便利的方法是，當(dāng)你連接到一臺設(shè)備時，它并不會宣傳其可用性，這意味著這臺原始設(shè)備可有效地從電波中消失。

第一個模塊連接到原始設(shè)備，掃描進行克隆并保持與設(shè)備的連接，第二個模塊會宣傳假冒的服務(wù)，而第三個模塊會處理目標(biāo)設(shè)備和真實服務(wù)之間傳輸數(shù)據(jù)的攔截和操縱。這種開源和免費代理被稱為GATTack，因為該應(yīng)用會查詢目標(biāo)設(shè)備的GATT(通用屬性配置文件)。Jasek指出這并不需要復(fù)雜的硬件;他的測試是在Raspberry Pi上運行。

在gattack.io網(wǎng)站的標(biāo)志讓人想起Heartbleed漏洞的標(biāo)志。

破壞捆綁

從理論上來看，這種中間人攻擊的方法只能發(fā)生在內(nèi)置藍牙LE安全選項被忽略或者使用不當(dāng)時。而且，所謂的“捆綁”連接應(yīng)該意味著兩個先前配對的設(shè)備已經(jīng)交換密鑰用于未來通信，除非使用該密鑰，否則這兩臺設(shè)備都不應(yīng)該允許通過MAC地址匹配的設(shè)備。然而，克隆目標(biāo)系統(tǒng)的攻擊設(shè)備只能請求重新建立捆綁，而大多數(shù)用戶會簡單地接受這個請求，因為這是他們熟悉的設(shè)備。

我們有方法來防范這種攻擊，但從Jasek的演示來看，大多數(shù)部署很容易允許拒絕服務(wù)攻擊。雖然人們可能會認為DoS攻擊很容易，因為這是無線電服務(wù)，但事實是藍牙LE旨在克服無線電系統(tǒng)在短距離低功耗情況中遇到的各種形式的干擾。

一位不愿意透露姓名的全球娛樂公司員工表示她正負責(zé)為IoT設(shè)備開發(fā)嵌入式應(yīng)用，“現(xiàn)在其實還沒有任何真正針對藍牙的攻擊，但這讓我們看到更多漏洞。”

Dick's Sporting Goods公司高級信息安全架構(gòu)師Kevin Gennuso稱，零售企業(yè)現(xiàn)在都在積極部署信標(biāo)，并總是試圖評估這些設(shè)備的安全性，“現(xiàn)在我們知道它們其實也不是特別安全。”