物联网(IoT)为连接设备带来了新的应用。制造商的目光已经超越了耳机和键盘。其中一个新用例特别引人注目:应用程序较少依赖连续流,而是定期中继少量数据。在传感器应用中尤其如此,在这些应用中,远程外围设备正在传递有关其周围环境的信息,例如恒温器、安全传感器或医疗监控设备。同时,蓝牙标准的进步使这些新应用成为可能。经典蓝牙和低功耗蓝牙的简史最初的蓝牙规范始于1998年,第一款免提耳机于1999年上市。从那时起,它被用于连接从电脑鼠标和键盘到便携式设备的所有设备扬声器和耳机。该标准现在称为蓝牙经典,涵盖79个通道,传输速度高达3Mb/s,传输距离可达50米,可用于数据传输、流式音频以及与其他智能手机共享图片等。虽然许多使用经典蓝牙的设备都是电池供电的(至少是外围设备),但电源从来都不是问题-因为组件的设计易于充电和更换电池。如果您的电脑鼠标电池只用了几天也没关系,您可以插入充电线或更换电池。从那时起,出现了一种新标准,即低功耗蓝牙(BLE),以支持较低的带宽速率,范围从125Kb/s到2Mb/s,并且包括一种新的无连接模式。BLE最大的进步就是省电,可以为设备供电更长时间。默认情况下,BLE外围设备会休眠,直到它们准备好传输数据。结合以较低数据速率传输期间的较低功耗,BLE设备的功耗通常仅为使用经典蓝牙的设备功耗的1-5%。它们消耗15-20微安的电流,这意味着标准纽扣电池可为大多数BLE设备供电多年。合理的数据传输速率与低功耗相结合,使BLE设备对耳机和恒温器等消费类应用具有吸引力,但这只是故事的一部分。这些相同的特性也使BLE成为连接医疗设备的理想选择——也称为医疗物联网(IoMT)。例如,血糖监测仪可以使用BLE将血糖水平传送到智能手机以便于监测。在医院环境中,附在设备上的廉价BLE标签可以使库存跟踪和定位更加容易。此外,BLE对大量连接外围设备的支持使其在可能涉及数百(或数千)个连接医疗设备的临床或医院环境中更具价值。例如,想想护士的监护站。借助BLE,您可以让所有楼层的ECG和其他患者监护设备将遥测信息中继到中央位置。同样的想法也适用于与健康相关的可穿戴设备,例如心脏监测器和健身手表——所有这些都通过BLE传递信息。消除电缆、笨重的电池并实现智能手机通信是向前迈出的一大步。但与任何创新一样,存在不可避免的风险。就医疗设备而言,这些风险不仅仅是降低音频质量或缩短电池寿命等不便。对于IoMT,设备安全风险直接危及患者安全。医疗物联网中的网络安全对于互联医疗设备,网络攻击是对患者安全的巨大威胁。例如,对BLE无线电接口的攻击可能会干扰IoMT设备的基本性能——这可能会伤害甚至可能杀死患者。在支持蓝牙的医疗设备中发现了多个类似这样的漏洞,导致广泛公开的披露、强制缓解措施和设备召回。最具影响力的示例之一是SweynTooth漏洞,它影响了许多BLEIoMT设备。影响如此严重,以至于FDA向医疗设备制造商发出安全通讯,警告触发其中一个漏洞的危险——这可能导致设备崩溃、死锁和冻结,甚至允许攻击者绕过其安全保护措施。SweynTooth(以及其他类似软件)的最大教训是它让制造商意识到供应链中的上游漏洞。尽管存在漏洞问题,但医疗设备制造商不会编写有缺陷的代码。事实上,他们不知道它们的存在。他们刚刚从一家值得信赖的知名电子公司采购了蓝牙片上系统SoC,并在他们的设备中实现了它。SoC存在漏洞,并且在产品发货之前根本没有进行充分的安全测试,从而使它们包含的每个系统都处于危险之中。通过协议模糊测试发现的隐藏漏洞SweynTooth漏洞影响了多家经验丰富的制造商,包括德州仪器、NXP、Cypress、DialogSemiconductors、Microchip、STMicroelectronics和TelinkSemiconductor。这么多不同的制造商如何受到影响?问题是这些漏洞隐藏在协议栈中,检测诊断难度极大。虽然安全社区已经开发出一套用于发现应用程序级漏洞的最佳实践——包括可以与应用程序软件和库进行交叉检查的通用策略和威胁库数据库——但协议级漏洞更难以查明。事实上,只有一种方法可以充分测试这些类型的漏洞:一种称为协议模糊测试的详尽测试机制。通俗地说,协议模糊测试将各种错误注入到通信交换中,以混淆连接另一端的实体并使其处于不正确的状态。这可能涉及相当简单的错误,例如发送数据包的多个副本,或者可能导致更复杂的协议损坏。以下是一些示例:指示连接开始和结束的标志可以设置在单个数据包中。数据包中的字段可能太大或太小。数据包中的字段可以设置为无效值。数据包可以乱序发送。在许多情况下,在建立安全、加密和其他通信参数的连接开始时发生的“握手”很容易成为攻击目标。由于远程设备根据握手期间建立的设置进行自我配置,因此特别损坏的数据包(或数据包序列)可能会导致关机或通信错误,需要手动重置。在最坏的情况下,攻击者可以将握手本身作为目标,如CVE-2019-19194中所述。因为握手建立了安全和加密参数,所以攻击者可以绕过通常会限制某些操作的控制并实现对系统的任意控制。特别是对于物联网设备,这显然会产生灾难性的影响。攻击者可以指示设备报告不正确的遥测数据、忽略其他命令、通过向未经授权的系统报告数据来违反患者隐私规则,甚至管理可能致命的药物剂量。保护支持BLE的IoMT设备中的协议级漏洞显然,这种类型的漏洞是医疗设备制造商的一个严重问题——正如FDA对美国的关注以及世界各地类似的监管审查所反映的那样。但保护连接设备的最佳方式是什么?对于初学者来说,这意味着实施验证和验证策略以识别SoC堆栈中的漏洞。制造商需要充当最后一道防线。毕竟,他们负责向受影响设备的患者和护理提供者快速分发警告通信、缓解策略和补救固件更新。而且,正如上面的示例所示,即使是资源最丰富的供应商也无法避免提供易受攻击的芯片组。然而,安全是一段旅程,而不是目的地。这就是为什么设备制造商必须至少坚持在产品发布之前从芯片组供应商那里获得补救更新。同时,他们还必须对其设备本身进行广泛的协议模糊评估,同时在FDA上市前许可提交中包括他们的验证和验证策略。随着IoMT设备的BLE连接变得越来越普遍,协议混淆认证对于维护患者安全和对先进技术的信任将变得更加重要。幸运的是,用于模糊测试协议的工具包已经变得更广泛可用且更易于使用——即使对于在网络安全方面经验很少的质量控制团队也是如此。鉴于芯片组供应商可能需要时间来彻底复制、诊断、修复和验证漏洞,现在是时候开始测试开发中的产品了。只需查看SweynTooth就会发现漏洞发现得越晚,修复的成本就越高。
