Посты
Иногда мне кажется, что BLE – это как старый друг, который сначала всегда делает все крив…
12 июля 2025 г. в 20:01•Max Knyazev is typing…Зеркало Telegram
Иногда мне кажется, что BLE – это как старый друг, который сначала всегда делает все криво, но потом резко исправляется и удивляет тем, как он вообще еще жив. Потому что, если почитать хронику всех уязвимостей Bluetooth за последние 10 лет, возникает закономерный вопрос: а как он вообще дожил до наших дней? Но давайте обо всем по порядку 🧐
Недавно я наткнулся на отличную статью «От BlueBorne до LE Secure: как Bluetooth выжил после самых громких дыр». Там собрали всю боль разработчиков и исследователей. Прикол то в том, что в какой-то момент BT/BLE напоминал не протокол, а сплошной CTF😉
Но все же BLE – это не «голый» Bluetooth, а огромная экосистема в PIoT, умных замках и прочих штуках, которые делают нашу жизнь чуть удобнее… и иногда чуть менее безопасной😏
Если коротко, то BLE долгое время был безнадежно дырявым. Классический PIN? Привет снифферу. "Just Works"? Отлично подходит для MITM. Устройства доверяют слишком многому, производители слишком редко обновляют прошивки, а пользователи вообще не подозревают, что их фитнес-браслет может быть троянским конем в корпоративной сети (теневые IoT, все дела)🤌
Но есть и хорошие новости. Новый BLE 5.4 действительно умеет многое. Шифрует пакеты, не дает понизить уровень безопасности и добавляет контроль над минимальной длиной ключей. Появляются аппаратные реализации защиты на чипах вроде nRF52, и это все реально двигает индустрию вперед👍
Хотя, конечно, если твой термометр из 2016-го не умеет обновляться по воздуху, никакие новые стандарты его не спасут. Тут снова упираемся в главную аксиому безопасности IoT -без регулярных обновлений даже самый красивый стандарт не спасет от беды 💀
Bluetooth, как бы мы над ним ни посмеивались, остается основной связью для большинства умных устройств. Но его безопасность — это не только про криптографию, а про все сразу: от железа до прошивки, от UX до политик обновлений. И пока что, как бы странно это не звучало, он держится. Иногда даже увереннее, чем Wi-Fi🙂
А как вы думаете, можно ли сегодня доверять BLE в серьезных проектах? (представим, что выбор у вас есть)🧐
#информационная_безопасность
#интернет_вещей
Открыть исходный пост в TelegramНедавно я наткнулся на отличную статью «От BlueBorne до LE Secure: как Bluetooth выжил после самых громких дыр». Там собрали всю боль разработчиков и исследователей. Прикол то в том, что в какой-то момент BT/BLE напоминал не протокол, а сплошной CTF
Но все же BLE – это не «голый» Bluetooth, а огромная экосистема в PIoT, умных замках и прочих штуках, которые делают нашу жизнь чуть удобнее… и иногда чуть менее безопасной
Если коротко, то BLE долгое время был безнадежно дырявым. Классический PIN? Привет снифферу. "Just Works"? Отлично подходит для MITM. Устройства доверяют слишком многому, производители слишком редко обновляют прошивки, а пользователи вообще не подозревают, что их фитнес-браслет может быть троянским конем в корпоративной сети (теневые IoT, все дела)
Но есть и хорошие новости. Новый BLE 5.4 действительно умеет многое. Шифрует пакеты, не дает понизить уровень безопасности и добавляет контроль над минимальной длиной ключей. Появляются аппаратные реализации защиты на чипах вроде nRF52, и это все реально двигает индустрию вперед
Хотя, конечно, если твой термометр из 2016-го не умеет обновляться по воздуху, никакие новые стандарты его не спасут. Тут снова упираемся в главную аксиому безопасности IoT -
Bluetooth, как бы мы над ним ни посмеивались, остается основной связью для большинства умных устройств. Но его безопасность — это не только про криптографию, а про все сразу: от железа до прошивки, от UX до политик обновлений. И пока что, как бы странно это не звучало, он держится. Иногда даже увереннее, чем Wi-Fi
А как вы думаете, можно ли сегодня доверять BLE в серьезных проектах? (представим, что выбор у вас есть)
#информационная_безопасность
#интернет_вещей