G.O.S.S.I.P 阅读推荐 2024-01-02 蓝牙安全的“千里江山图”

各位读者，新年好！在开始新的一年的专栏之前，先说两件事：首先，我们统计了2023年阅读推荐专栏的推送文章的受关注度，在过去一年所有推送中，阅读量之王是《G.O.S.S.I.P 阅读推荐 2023-04-26 KextFuzz》，看来切尔诺贝利核电站在这一天爆炸不是没有道理的！其次是《G.O.S.S.I.P 阅读推荐 2023-12-22 漏洞挖掘哪家强？》中提到的漏洞数据集vulbench，作者发来私信跟大家说，已经在 https://github.com/Hustcw/VulBench 公开，欢迎下载和star~

---

2024年的第一期阅读推荐和大家见面了！今天我们介绍这篇题目为SoK: The Long Journey of Exploiting and Defending the Legacy of King Harald Bluetooth的SoK论文，同时也为我们新一年整个专栏的journey开个好头。这篇SoK论文的第一作者武建亮老师是2023年Let’s GoSSIP暑期学校的讲师，他当时也给大家带来了蓝牙安全相关的课程。在这篇论文中，作者系统地总结了过去24年中蓝牙安全研究工作，涉及76种攻击和34类防护，如果你想了解蓝牙通信安全的方方面面，也想以史为鉴，不要再在其他领域犯同样的错误，这篇论文绝对是不应该错过的！

蓝牙通信协议可能是除了SSL/TLS协议之外，在安全研究领域（特别是学术研究）中被提及最多的协议了，共享单车和智能门锁能够爆红，蓝牙通信在里面功不可没。过去20年中，大量相关的论文都揭示了蓝牙通信中不同的安全问题，而且直到最近依然还有新的研究，所以读这篇SoK论文的最重要收获，就是搞清楚了过去这么多年，针对蓝牙的安全研究的全貌。对于蓝牙还不是那么熟悉的读者，除了找一个蓝牙耳机/键盘/鼠标实地使用一番，也可以先去了解一下基本的知识，至少搞清楚蓝牙的协议栈（如下图），Bluetooth Classic、Bluetooth Low Energy（BLE）和Bluetooth Mesh的区别，以及蓝牙的设计中已经使用过和正在使用的一些安全设计（例如配对的安全机制），这样阅读上会少掉很多障碍。

考考你，我们曾经在专栏中介绍过的BLEScope针对的是上面哪一个Layer开展的安全攻击？

带着背景知识，大家可以进入到本文的第一个主要部分——论文的第四章。在这个部分中，作者把已有的攻击（从2000年到2023年各大学术和工业界安全会议上的研究成果）按照攻击的目标（针对physical、firmware还是host layer）进行了分类讨论（下表进行了总结，但是具体的细节都在论文的文字部分）。如果你偷懒不想看细节了，那么至少请阅读一下论文的第五章看看作者是怎么总结这些攻击的主要共性的。

接下来的论文第六章开始介绍蓝牙安全相关的防护措施，仍然是针对physical、firmware、host layer进行分类讨论，这里可以重点关注一下关于formal verification的部分，因为论文后面会有呼应。还是和前面一样，如果偷懒的读者可以直接先看第七章的总结。

虽然上面提到的安全攻击和安全防护并不是同一批的研究人员提出的，但是这里依然可以问一下“以子之矛攻子之盾”的问题，于是就有了下面的表格，展示了防护的效果。可以看出，目前还没有哪个防护手段能够彻底抵挡已知的某一类攻击。

当然，上面这个表格还可以配合论文中的Table 1（给出了蓝牙已有安全机制和相对应的攻击）服用，效果更佳哦

论文进入到第八章，在总结前人知识的基础上，给出了一些新的研究结果——针对Bluetooth Mesh的形式化分析（formal analysis）。作者表示，此前尽管有很多针对Bluetooth标准模式和BLE的形式化分析，但是针对mesh模式形式化分析还做得不够，因此本文顺手就把这块拼图给补齐了。这部分内容的细节放在了附录部分，感兴趣的读者可以翻到论文最后看看。

---

论文：https://allenjlw.github.io/pdfpapers/btsok.pdf

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2024-01-02 蓝牙安全的“千里江山图”