物聯(lián)網(wǎng) (IoT) 為連接設(shè)備帶來了新的應(yīng)用。制造商正在超越耳機(jī)和鍵盤。其中一個(gè)新用例尤其突出：應(yīng)用程序較少依賴連續(xù)流，而是定期中繼少量數(shù)據(jù)。在遠(yuǎn)程外圍設(shè)備正在傳遞有關(guān)其周圍環(huán)境的信息的傳感器應(yīng)用中尤其如此，例如恒溫器、安全傳感器或醫(yī)療監(jiān)控設(shè)備。同時(shí)，藍(lán)牙標(biāo)準(zhǔn)的進(jìn)步使這些新應(yīng)用成為可能。

經(jīng)典藍(lán)牙和低功耗藍(lán)牙簡(jiǎn)史

藍(lán)牙最初的規(guī)范自 1998 年就已經(jīng)存在，第一款免提耳機(jī)于 1999 年出現(xiàn)在市場(chǎng)上。從那時(shí)起，它就被用于連接從電腦鼠標(biāo)和鍵盤到便攜式揚(yáng)聲器和耳機(jī)的所有東西?，F(xiàn)在被稱為經(jīng)典藍(lán)牙的標(biāo)準(zhǔn)，可覆蓋 79 個(gè)通道，在 50 米范圍內(nèi)傳輸高達(dá) 3Mb/s 的速度，這使其可用于數(shù)據(jù)傳輸、流式音頻以及與其他智能手機(jī)共享圖片等。

雖然許多使用藍(lán)牙經(jīng)典的設(shè)備都是電池供電的（至少是外圍設(shè)備），但電源從來都不是問題——因?yàn)檫@些組件的設(shè)計(jì)便于充電和更換電池。如果您的電腦鼠標(biāo)的電池只使用了幾天也沒關(guān)系，您可以插入充電電纜或更換電池。

此后出現(xiàn)了一種新標(biāo)準(zhǔn)，即低功耗藍(lán)牙 (BLE)，以支持較低的帶寬速率，范圍從 125 Kb/s 到 2 Mb/s，除了經(jīng)典藍(lán)牙所面向連接模式之外，還包括一種新的無連接模式。BLE 最大的進(jìn)步是它節(jié)省電力，可以為設(shè)備供電更長(zhǎng)時(shí)間。默認(rèn)情況下，BLE 外設(shè)會(huì)休眠，直到它們準(zhǔn)備好傳輸數(shù)據(jù)。結(jié)合以較低數(shù)據(jù)速率傳輸期間的較低功耗，BLE 設(shè)備的功耗通常僅為使用藍(lán)牙經(jīng)典設(shè)備的 1-5%。它們的功耗在 15-20 微安之間，這意味著標(biāo)準(zhǔn)紐扣電池可以為大多數(shù) BLE 設(shè)備供電多年。

重塑醫(yī)療物聯(lián)網(wǎng)

合理的數(shù)據(jù)傳輸速率加上低功耗使 BLE 設(shè)備對(duì)消費(fèi)類應(yīng)用（例如耳機(jī)和恒溫器）具有吸引力，但這只是故事的一部分。這些相同的屬性也使 BLE 成為連接醫(yī)療設(shè)備的理想選擇——也稱為醫(yī)療物聯(lián)網(wǎng) (IoMT)。例如，血糖監(jiān)測(cè)儀可以使用 BLE 將血糖水平傳送到智能手機(jī)，以便于監(jiān)測(cè)。在醫(yī)院環(huán)境中，附在設(shè)備上的廉價(jià) BLE 標(biāo)簽可以使庫存跟蹤和定位變得更加容易。此外，BLE 對(duì)大量連接外圍設(shè)備的支持使其在可能涉及數(shù)百（或數(shù)千）連接醫(yī)療設(shè)備的臨床或醫(yī)院環(huán)境中更具價(jià)值。例如，想想護(hù)士的監(jiān)測(cè)站。借助 BLE，您可以讓所有樓層的 ECG 和其他患者監(jiān)護(hù)設(shè)備將遙測(cè)信息中繼到一個(gè)中心位置。與健康相關(guān)的可穿戴設(shè)備（例如心臟監(jiān)測(cè)器和健身手表）的想法相同——所有這些設(shè)備都通過 BLE 中繼信息。

免除電纜、笨重的電池并啟用智能手機(jī)通信是向前邁出的一大步。但與任何創(chuàng)新一樣，也存在不可避免的風(fēng)險(xiǎn)。就醫(yī)療設(shè)備而言，這些風(fēng)險(xiǎn)不僅會(huì)導(dǎo)致音頻質(zhì)量下降或電池壽命下降等不便。對(duì)于 IoMT，設(shè)備安全風(fēng)險(xiǎn)會(huì)直接危及患者安全。

醫(yī)療物聯(lián)網(wǎng)中的網(wǎng)絡(luò)安全

對(duì)于連接的醫(yī)療設(shè)備，網(wǎng)絡(luò)攻擊是對(duì)患者安全的巨大威脅。例如，對(duì) BLE 無線電接口的攻擊可能會(huì)干擾 IoMT 設(shè)備的基本性能——這可能會(huì)傷害或可能殺死患者。類似這樣的多個(gè)漏洞已經(jīng)在支持藍(lán)牙的醫(yī)療設(shè)備中被發(fā)現(xiàn)，導(dǎo)致廣泛宣傳的披露、強(qiáng)制緩解和設(shè)備召回。影響最大的例子之一是 SweynTooth 漏洞，它影響了許多 BLE IoMT 設(shè)備。影響是如此嚴(yán)重，以至于 FDA 向醫(yī)療設(shè)備制造商發(fā)布了一份安全通信，警告如果觸發(fā)其中一個(gè)漏洞會(huì)帶來危險(xiǎn)——這可能導(dǎo)致設(shè)備崩潰、死鎖和凍結(jié)，甚至使攻擊者能夠繞過其安全保障措施.

SweynTooth（以及其他類似漏洞）的最大教訓(xùn)是它讓制造商意識(shí)到供應(yīng)鏈中的上游漏洞。盡管漏洞令人擔(dān)憂，但醫(yī)療設(shè)備制造商并未編寫有缺陷的代碼。事實(shí)上，他們并不知道他們的存在。他們只是從值得信賴的知名電子公司采購了藍(lán)牙片上系統(tǒng)SoC，并將其應(yīng)用在他們的設(shè)備中。SoC 提供了漏洞，在產(chǎn)品發(fā)貨之前根本沒有進(jìn)行足夠的安全測(cè)試，這使得它們所包含的每個(gè)系統(tǒng)都處于危險(xiǎn)之中。

通過協(xié)議模糊測(cè)試發(fā)現(xiàn)隱藏的漏洞

SweynTooth 漏洞影響了多家經(jīng)驗(yàn)豐富的制造商，包括德州儀器、恩智浦、賽普拉斯、Dialog Semiconductors、Microchip、STMicroelectronics 和 Telink Semiconductor。這么多不同的制造商是如何受到影響的？問題是這些漏洞隱藏在協(xié)議棧中，使得檢測(cè)和診斷變得異常困難。雖然安全社區(qū)已經(jīng)開發(fā)了一系列用于發(fā)現(xiàn)應(yīng)用程序級(jí)漏洞的最佳實(shí)踐——包括可以與應(yīng)用程序軟件和庫交叉檢查的威脅庫的常見策略和數(shù)據(jù)庫——但協(xié)議級(jí)漏洞更難查明。事實(shí)上，只有一種方法可以充分測(cè)試這類漏洞：一種稱為協(xié)議模糊測(cè)試的詳盡測(cè)試機(jī)制。

通俗地說，協(xié)議模糊測(cè)試將各種錯(cuò)誤注入到通信交換中，以混淆連接另一端的實(shí)體并將其置于不正確的狀態(tài)。這可能涉及相當(dāng)簡(jiǎn)單的錯(cuò)誤，例如發(fā)送數(shù)據(jù)包的多個(gè)副本，或者可能導(dǎo)致更復(fù)雜的協(xié)議損壞。這里有一些例子：

• 可以在單個(gè)數(shù)據(jù)包中設(shè)置指示連接開始和結(jié)束的標(biāo)志。
• 數(shù)據(jù)包中的字段可能太大或太小。
• 數(shù)據(jù)包中的字段可以設(shè)置為無效值。
• 數(shù)據(jù)包可以亂序發(fā)送。

在許多情況下，在連接開始時(shí)發(fā)生的“握手”以建立安全性、加密和其他通信參數(shù)，是很容易被利用的目標(biāo)。由于遠(yuǎn)程設(shè)備根據(jù)握手期間建立的設(shè)置進(jìn)行自我配置，因此特別損壞的數(shù)據(jù)包（或數(shù)據(jù)包序列）可能導(dǎo)致關(guān)閉或通信錯(cuò)誤，需要手動(dòng)重置。

在最壞的情況下，攻擊者可以針對(duì)握手本身，如 CVE-2019-19194 中所述。由于握手建立了安全和加密參數(shù)，攻擊者可以繞過通常會(huì)限制某些操作并啟用系統(tǒng)任意控制的控制。特別是對(duì)于物聯(lián)網(wǎng)設(shè)備，這可能會(huì)產(chǎn)生明顯的災(zāi)難性影響。攻擊者可以指示設(shè)備報(bào)告不正確的遙測(cè)數(shù)據(jù)，忽略其他命令，通過向未經(jīng)授權(quán)的系統(tǒng)報(bào)告數(shù)據(jù)來違反患者隱私規(guī)則，甚至管理可能致命的藥物劑量。

保護(hù)支持 BLE 的 IoMT 設(shè)備中的協(xié)議級(jí)漏洞

顯然，這種類型的漏洞是醫(yī)療設(shè)備制造商的一個(gè)嚴(yán)重問題——正如 FDA 在美國(guó)的關(guān)注和全球類似的監(jiān)管審查所反映的那樣。但是保護(hù)連接設(shè)備的最佳方法是什么？對(duì)于初學(xué)者來說，這意味著實(shí)施驗(yàn)證和驗(yàn)證策略來識(shí)別 SoC 協(xié)議棧中的漏洞。制造商需要充當(dāng)最后一道防線。畢竟，他們負(fù)責(zé)將受影響設(shè)備的警告通信、緩解策略和修復(fù)固件更新快速分發(fā)給患者和護(hù)理提供者。而且，如上例所述，即使是資源最充足的供應(yīng)商也不能幸免于提供易受攻擊的芯片組。

然而，安全是一個(gè)旅程，而不是一個(gè)目的地。這就是為什么設(shè)備制造商至少必須堅(jiān)持在產(chǎn)品發(fā)布之前從芯片組供應(yīng)商那里得到補(bǔ)救更新。同時(shí)，他們還必須自己承擔(dān)對(duì)他們的設(shè)備進(jìn)行廣泛的協(xié)議模糊評(píng)估——同時(shí)在 FDA 上市前許可提交中包括他們的驗(yàn)證和驗(yàn)證策略。

隨著 IoMT 設(shè)備的 BLE 連接變得越來越普遍，協(xié)議模糊驗(yàn)證對(duì)于維護(hù)患者安全和對(duì)先進(jìn)技術(shù)的信任將變得更加重要。幸運(yùn)的是，fuzzing協(xié)議工具包變得更加廣泛可用和更容易使用——即使對(duì)于在網(wǎng)絡(luò)安全方面幾乎沒有經(jīng)驗(yàn)的質(zhì)量控制團(tuán)隊(duì)也是如此?？紤]到芯片組供應(yīng)商徹底復(fù)制、診斷、修復(fù)和驗(yàn)證漏洞可能需要時(shí)間，現(xiàn)在是時(shí)候開始測(cè)試開發(fā)中的產(chǎn)品了。只需要看一下 SweynTooth，就會(huì)發(fā)現(xiàn)越晚發(fā)現(xiàn)漏洞，修復(fù)的成本就越高。