智能手表安全吗？

Question

我的鹅卵石智能手表，像很多一样(大多数？)其他智能手表，使用蓝牙低能(蓝牙智能，BLE，BTLE等)与我的智能手机通信。

链接中有一些安全性，包括身份验证、数据加密和签名，但是去年夏天的研究人员建议一次攻击似乎破坏了加密。

我有电子邮件发件人的名字和主题，电话号码和名字，和其他数据发送到我的手表通过这个链接，而且这个链接允许我查询我的智能手机，并在一定程度上控制它。最令人担忧的是，我通常会根据它提供的信息行事，所以如果发送了不正确的信息，比如来自爱人的紧急短信，它可以在某种程度上控制我。

这次袭击的影响对我来说还不清楚，有人能帮我分解一下吗？

我想知道是否有任何简单的步骤可以防止这次攻击。如果没有，我可能需要停止使用它，直到安全性得到改善。

还有其他我应该知道的蓝牙智能攻击吗？

Answer 1

你提到的袭击并没有那么可怕或令人惊讶。它实际上并不攻击设备所使用的加密，而是攻击配对过程。当您对蓝牙设备时，必须交换加密密钥。这是通过从PIN号码导出AES密钥来实现的。他们有效地针对记录的配对会话尝试所有的引号，以恢复长期使用的AES密钥。

如果您安全地为您的设备建立配对(在没有攻击者的环境中)，则此攻击将毫无用处，因为一旦在配对期间交换加密密钥，它将用于将来的更新，并且密钥交换不必重复。

我认为这一漏洞的可能性很低。如果让客户端和服务器各自为交换选择一半的密钥，这是可以避免的，但这并不是什么大问题。

Answer 2

是的，还有其他一些你应该警惕的攻击.

有三种类型的蓝牙身份验证“智能”(也称蓝牙低能)：

1. 这是你所需要的。不知何故，两个设备之间交换了一个128位的密钥.主要的例子是在蓝牙设备和智能手机之间使用NFC。如果正在交换任何私人信息，请确保使用了这种配对机制。
2. “只是有效”-零保护。加密密钥是数字'0‘。
3. 密码输入-六位数字的PIN，或0到999,999之间的值，这反过来用于加密。注意，虽然这是一个128位的键，其余的数字是左填充'0‘。

资料来源：蓝牙:低能量带来低安全性.

另一方面，这一理论保障机制增加了默克尔氏难题蓝牙“智能”的安全性。

如果你想再深入一点。这个相对较新的白皮书讨论了绕过密钥认证的问题。

以下是bluetooth.org网站的一句俏皮话:保持成本的总体目标.在蓝牙智能(低能量)技术的安全能力上，最低限度地被用于妥协。

过了一会儿，这个小贴士出现了：“只工作，密码入口不提供任何被动窃听保护​。”