TIL: у блютуза безопасность нулевая

Ой вей, не учите нас коммерции. 5 версий написали и ещё напишем!

ну тут какбэ этсамое, или безопасно-безопасно, или у конченого пользователя наушники не цепляются.

А блютуз, надо сказать, вопреки некоторым ожиданиям, пробивает несколько стен на пару десятков метров.

Кстати да. Недавно был весьма удивлен. Находился в металлическим бункере. Сигнал от смарта до наушников находил щели и просачивался на пару этажей вверх и вниз.

изначально он был безопасный, но никто никогда ничего не мог спарить. Потому теперь 0000 и 1234 :) «рыночек порешал».

Что при этом делать тем, у кого девайс не предполагает экрана, стандартописатели скромно умалчивают.

После спаривания по 1234 каким-нибудь образом сообщать партнёру новый пин, потом отваливаться и ждать подключения с ним.

По блютузу нынче данные не передают.

Сейчас блютуз для массового потребителя - это штука, по которой свежая музычка из спотифайчика на телефончике попадает в наушники/колонки/аудиосистему автомобиля. А, ну и да, разные беспроводные джойстики/клавиатуры/мышки подключают.

У этих вещей даже пин на подключение зачастую не стоит, либо он стандартный, тут безопасность не нужна.

Да и справедливости ради, даже для этих двух вещей блютуз плох, у него слишком малая пропускная способность для качественного звука и слишком большие задержки для игровых устройств ввода.

Для всех остальных вещей есть вайфай (и зигби для умного дома), а там с безопасностью дела уж точно лучше обстоят.

клавиатуры

безопасность не нужна

Ну-да, ну-да, пошли мои пароли на…

Это в BLE так? А то звучит как прост гонево.

Если у тебя клавиатура PS/2, то они даже еще дальше передаются. =)

https://insinuator.net/2021/10/change-your-ble-passkey-like-you-change-your-underwear/

Пишут что и в классическом не лучше.

М-да. Заголовок у тебя, конечно, кликбейтный, потому что нужны BLE + static passkey, но и утекать по биту на попытку — феноменальный провал.

В классическом я уже лет 10 не припомню девайсов со статический пином даже на самом отъявленном дешмане, везде нормальные kexы. Так что нет, без активного mitm вашу музыку соседям не послушать.

Что при этом делать тем, у кого девайс не предполагает экрана, стандартописатели скромно умалчивают.

Что-что, использовать другой способ подключения.

Ну я уже продумываю способ с подключением через USB, открытием в гугль хроме странички, которая по USB с девайсом заобщается и покажет только что сгенеренный пин и дальше надо его ввести. Но сдаётся мне, юзерам это будет неудобно и мне скажут - делай статический и пох** на безопасность, у нас хакеров не водится.

Если устройство не в режиме «спаривания», то ты к нему и не подключишься, на этом основана безопасность.

И какие такие секретные данные ты по нему передавать собраться и как?

Добавь в свой девайс семисегментник, показывай 4 цифры по очереди.

Клавиатура подключается так: одноразовый пин - на экране компьютера, набирается на клавишах этой самой клавиатуры. Экран на клавиатуре не нужен.

Производство корпуса это такой адский геморрой, что тут уже ничего добавлять не выйдет.

А ты, производитель, не запаивай ультразвуком и не ставь ублюдочные защёлки в окаринообразное уродство - тогда и геморроя особо не будет. В элегантный паралелепипед свинченный винтиками запросто добавляются любые порты, кнопочки, окошка.

Были такие, да, теперь просто key exchange при спаривании.

Если резко отбежал на сто метров, а коннект не прервался, значит активного MITM не было и никто третий твою переписку не слушал. =)

А чем это угрожает?

Тем, что твои данные может получить злоумышленик, просто находясь неподалёку. Разве не очевидно? Ну а уж что в этих данных может быть такого, сам придумай. Или какой-то файл передавал «секретный», ну или вообще на блютуз-клаве пароль набирал. Бери да слушай.

Ты найди сначала клавиатуру с фиксированным пином.

Что за девайс-то? Не верю, что в корпусе не найдётся места под семисегментник. Если девайс небольшой, то лучше, конечно, OLED с SSD1306 и использовать его для отображения статуса. Не верю, что есть какой-то девайс, который должен подключаться по блютусу, но при этом не может показать, сказать или напечатать четырёхзначный код.

В крайнем случае делай как Sony с DS3 – вместо отображения кода можно сделать пейринг по USB. Но даже с таким устройством это не обязательно, ведь код можно вводить с кнопок самого устройства, если сопоставить типа крест=1, круг=2, треугольник=3, квадрат=4 и т.д.

Ну так. Разве ты не знал, что буква «s» в слове «Bluetooth» значит «secure»?

Это просто бункер с ретрансляторами для закладок ЦРУ.

Ага, а еще пультом от телека можно соседский телек переключать, ууу решето =)

А если серьезно, то должно существовать удобное беспроводное подключение. На кой мне безопасность в наушниках, мыши, или OBD-свистке в машине?

Опасным это можно было бы назвать, если бы оно было либо неотключаемо, либо незаметно подключаемо.

А так, ну вот сижу я с девушкой в парке, хочу с ней поблютуситься, показываю ей своего котика, и тут ты сидя в кустах перехватываешь моего котика, и шлешь ей своего?

Если да - тогда дыра в безопасности. Если нет - тогда просто легкое подключение.

Ой ну да, ну да. А ничего что разговариваешь вот ты по телефону через свои блютуз наушники и тебя не только органы компетентные слушают, но ещё и Вася любопытствующий который парой этажей ниже тебя сидит.

Зачем котика? Когда можно чв отправить. И тут сразу девушка о тебе мнение резко поменяет.

Что при этом делать тем, у кого девайс не предполагает экрана, стандартописатели скромно умалчивают.

Ну почему же, там куча методов передачи ключа: подтверждение да/нет, ввод цифр, out-of-band. Для спаривания клавиатуры нужно ввести код на самой клавиатуре, который генерирует хост, например. Передача ключа также есть по NFC, даже в каком-то стандарте предусматривался перенос по USB в виде файла.

Вот для BLE:

https://www.bluetooth.com/wp-content/uploads/2016/06/screen-shot-06-08-16-at-0124-pm.png

В элегантный паралелепипед свинченный винтиками

Так и вижу такую гарнитуру. Прямо перед глазами. Сквозь слёзы.

Для спаривания клавиатуры нужно ввести код на самой клавиатуре

Мне уже сказали выше, что в современных коммерчески доступных клавиатурах этот метод не использюуется. Я не поверил, пошел в магазин, потратил целую тысячу рублей на клавиатуру Keyron, и могу подтвердить, что никакого ввода кода не предусмотрено. Как и с типичными bluetooth-наушниками, устройство просто переводится в режим подключения, и кто первый к нему приконектился, тот успел. Может в более дорогих клавиатурах и нормальная система, я хз, но в первой попавшейся такого теперь нет.
Жаль, раньше было даже в самых дешевых клавиатурах.

В мак клавиатуре за 20 000 я тоже ничего не вводил. Может быть там какие-то хитрые системы безопасности, работающие автоматически, не знаю…

No shit, Sherlok! ;) Bluetooth – это просто такой беспроводной кабель, со всеми вытекающими.

У меня Thinkpad TrackPoint Keyboard II, при сопряжении нужно вводить цифры на клавиатуре, которые отображаются на экране устройства, запросившего сопряжение.

У меня раньше, лет 10 назад, была дешевая китайская клавиатура не помню какого бренда, и она тоже просила вводить цифры.
А вот новая, купленная на этой неделе, не просит. Как есть.

В том-то и дело, что с кабелем всё просто. Пользователь его берёт и втыкает куда надо. Интуитивно понятно и вполне безопасно.

А блютуз легко может пробивать через стену на улицу. Подъехал к офису, припарковался возле окна, сел на заднее сиденье в затонированной машине и лови/отсылай радиоволны.

Это как Ethernet и WiFi. Ко второму неизбежно возникает куда больше вопросов в плане безопасности.

И ладно если это какой-нибудь датчик температуры. А если это биткойн-кошелёк?