經(jīng)典藍牙和低功耗藍牙簡史

　　藍牙最初的規(guī)范自 1998 年就已經(jīng)存在，第一款免提耳機于 1999 年出現(xiàn)在市場上。從那時起，它就被用于連接從電腦鼠標和鍵盤到便攜式揚聲器和耳機的所有東西?，F(xiàn)在被稱為經(jīng)典藍牙的標準，可覆蓋 79 個通道，在 50 米范圍內傳輸高達 3Mb/s 的速度，這使其可用于數(shù)據(jù)傳輸、流式音頻以及與其他智能手機共享圖片等。

　　雖然許多使用藍牙經(jīng)典的設備都是電池供電的(至少是外圍設備)，但電源從來都不是問題——因為這些組件的設計便于充電和更換電池。如果您的電腦鼠標的電池只使用了幾天也沒關系，您可以插入充電電纜或更換電池。

　　此后出現(xiàn)了一種新標準，即低功耗藍牙 (BLE)，以支持較低的帶寬速率，范圍從 125 Kb/s 到 2 Mb/s，除了經(jīng)典藍牙所面向連接模式之外，還包括一種新的無連接模式。BLE 最大的進步是它節(jié)省電力，可以為設備供電更長時間。默認情況下，BLE 外設會休眠，直到它們準備好傳輸數(shù)據(jù)。結合以較低數(shù)據(jù)速率傳輸期間的較低功耗，BLE 設備的功耗通常僅為使用藍牙經(jīng)典設備的 1-5%。它們的功耗在 15-20 微安之間，這意味著標準紐扣電池可以為大多數(shù) BLE 設備供電多年。

　　重塑醫(yī)療物聯(lián)網(wǎng)

　　合理的數(shù)據(jù)傳輸速率加上低功耗使 BLE 設備對消費類應用(例如耳機和恒溫器)具有吸引力，但這只是故事的一部分。這些相同的屬性也使 BLE 成為連接醫(yī)療設備的理想選擇——也稱為醫(yī)療物聯(lián)網(wǎng) (IoMT)。例如，血糖監(jiān)測儀可以使用 BLE 將血糖水平傳送到智能手機，以便于監(jiān)測。在醫(yī)院環(huán)境中，附在設備上的廉價 BLE 標簽可以使庫存跟蹤和定位變得更加容易。此外，BLE 對大量連接外圍設備的支持使其在可能涉及數(shù)百(或數(shù)千)連接醫(yī)療設備的臨床或醫(yī)院環(huán)境中更具價值。例如，想想護士的監(jiān)測站。借助 BLE，您可以讓所有樓層的 ECG 和其他患者監(jiān)護設備將遙測信息中繼到一個中心位置。與健康相關的可穿戴設備(例如心臟監(jiān)測器和健身手表)的想法相同——所有這些設備都通過 BLE 中繼信息。

　　免除電纜、笨重的電池并啟用智能手機通信是向前邁出的一大步。但與任何創(chuàng)新一樣，也存在不可避免的風險。就醫(yī)療設備而言，這些風險不僅會導致音頻質量下降或電池壽命下降等不便。對于 IoMT，設備安全風險會直接危及患者安全。

　　醫(yī)療物聯(lián)網(wǎng)中的網(wǎng)絡安全

　　對于連接的醫(yī)療設備，網(wǎng)絡攻擊是對患者安全的巨大威脅。例如，對 BLE 無線電接口的攻擊可能會干擾 IoMT 設備的基本性能——這可能會傷害或可能殺死患者。類似這樣的多個漏洞已經(jīng)在支持藍牙的醫(yī)療設備中被發(fā)現(xiàn)，導致廣泛宣傳的披露、強制緩解和設備召回。影響最大的例子之一是 SweynTooth 漏洞，它影響了許多 BLE IoMT 設備。影響是如此嚴重，以至于 FDA 向醫(yī)療設備制造商發(fā)布了一份安全通信，警告如果觸發(fā)其中一個漏洞會帶來危險——這可能導致設備崩潰、死鎖和凍結，甚至使攻擊者能夠繞過其安全保障措施.

　　SweynTooth(以及其他類似漏洞)的最大教訓是它讓制造商意識到供應鏈中的上游漏洞。盡管漏洞令人擔憂，但醫(yī)療設備制造商并未編寫有缺陷的代碼。事實上，他們并不知道他們的存在。他們只是從值得信賴的知名電子公司采購了藍牙片上系統(tǒng)SoC，并將其應用在他們的設備中。SoC 提供了漏洞，在產(chǎn)品發(fā)貨之前根本沒有進行足夠的安全測試，這使得它們所包含的每個系統(tǒng)都處于危險之中。

　　通過協(xié)議模糊測試發(fā)現(xiàn)隱藏的漏洞

　　SweynTooth 漏洞影響了多家經(jīng)驗豐富的制造商，包括德州儀器、恩智浦、賽普拉斯、Dialog Semiconductors、Microchip、STMicroelectronics 和 Telink Semiconductor。這么多不同的制造商是如何受到影響的?問題是這些漏洞隱藏在協(xié)議棧中，使得檢測和診斷變得異常困難。雖然安全社區(qū)已經(jīng)開發(fā)了一系列用于發(fā)現(xiàn)應用程序級漏洞的最佳實踐——包括可以與應用程序軟件和庫交叉檢查的威脅庫的常見策略和數(shù)據(jù)庫——但協(xié)議級漏洞更難查明。事實上，只有一種方法可以充分測試這類漏洞：一種稱為協(xié)議模糊測試的詳盡測試機制。

　　通俗地說，協(xié)議模糊測試將各種錯誤注入到通信交換中，以混淆連接另一端的實體并將其置于不正確的狀態(tài)。這可能涉及相當簡單的錯誤，例如發(fā)送數(shù)據(jù)包的多個副本，或者可能導致更復雜的協(xié)議損壞。這里有一些例子：

　　· 可以在單個數(shù)據(jù)包中設置指示連接開始和結束的標志。

　　· 數(shù)據(jù)包中的字段可能太大或太小。

　　· 數(shù)據(jù)包中的字段可以設置為無效值。

　　· 數(shù)據(jù)包可以亂序發(fā)送。

　　在許多情況下，在連接開始時發(fā)生的“握手”以建立安全性、加密和其他通信參數(shù)，是很容易被利用的目標。由于遠程設備根據(jù)握手期間建立的設置進行自我配置，因此特別損壞的數(shù)據(jù)包(或數(shù)據(jù)包序列)可能導致關閉或通信錯誤，需要手動重置。

　　在最壞的情況下，攻擊者可以針對握手本身，如 CVE-2019-19194 中所述。由于握手建立了安全和加密參數(shù)，攻擊者可以繞過通常會限制某些操作并啟用系統(tǒng)任意控制的控制。特別是對于物聯(lián)網(wǎng)設備，這可能會產(chǎn)生明顯的災難性影響。攻擊者可以指示設備報告不正確的遙測數(shù)據(jù)，忽略其他命令，通過向未經(jīng)授權的系統(tǒng)報告數(shù)據(jù)來違反患者隱私規(guī)則，甚至管理可能致命的藥物劑量。

　　保護支持 BLE 的 IoMT 設備中的協(xié)議級漏洞

　　顯然，這種類型的漏洞是醫(yī)療設備制造商的一個嚴重問題——正如 FDA 在美國的關注和全球類似的監(jiān)管審查所反映的那樣。但是保護連接設備的最佳方法是什么?對于初學者來說，這意味著實施驗證和驗證策略來識別 SoC 協(xié)議棧中的漏洞。制造商需要充當最后一道防線。畢竟，他們負責將受影響設備的警告通信、緩解策略和修復固件更新快速分發(fā)給患者和護理提供者。而且，如上例所述，即使是資源最充足的供應商也不能幸免于提供易受攻擊的芯片組。

　　然而，安全是一個旅程，而不是一個目的地。這就是為什么設備制造商至少必須堅持在產(chǎn)品發(fā)布之前從芯片組供應商那里得到補救更新。同時，他們還必須自己承擔對他們的設備進行廣泛的協(xié)議模糊評估——同時在 FDA 上市前許可提交中包括他們的驗證和驗證策略。

　　隨著 IoMT 設備的 BLE 連接變得越來越普遍，協(xié)議模糊驗證對于維護患者安全和對先進技術的信任將變得更加重要。幸運的是，fuzzing協(xié)議工具包變得更加廣泛可用和更容易使用——即使對于在網(wǎng)絡安全方面幾乎沒有經(jīng)驗的質量控制團隊也是如此?？紤]到芯片組供應商徹底復制、診斷、修復和驗證漏洞可能需要時間，現(xiàn)在是時候開始測試開發(fā)中的產(chǎn)品了。只需要看一下 SweynTooth，就會發(fā)現(xiàn)越晚發(fā)現(xiàn)漏洞，修復的成本就越高。