我正在查看AltBeacon库,并计划使用它。但在此之前,我总体上几乎没有问题(更具理论性质)。如果有人能帮助我理解,那就太好了。
a)有没有办法确保AltBeacon广告是独一无二的。从某种意义上说,没有其他人可以在他们的灯塔中使用相同的UUID,主要和次要ID。因为如果发生这种情况,我们的应用程序就有发现另一家公司的灯塔和故障的风险,反之亦然。
b)据我所知,任何启用了BLE的设备都可以扫描并获取周围任何信标的代码。这暴露了信标的UUID,主要ID,次要ID,RSSI等,这给应用程序所有者带来了安全风险,例如,其他人的应用程序正在处理我的信标(劫持各种类型),修改整个Beacon广告代码等等。
所以,我想知道AltBeacon规范和库本身现在有哪些解决方案(解决方法)?或者他们在排队?我不确定,这是否可以在图书馆一级本身,或Android级别或可能是蓝牙LE规范需要合并这些。我知道Apple和其他一些公司已经推出了他们的安全功能,例如限制扫描到您自己的信标,旋转Beacon ID等。在AltBeacon端还有那种或计划的东西吗?
答案 0 :(得分:1)
请注意,情况总是如此。 Apple Universe中的信标是位置服务。 Alt beacon基本上是基于此,因此它具有相同的局限性。信标ID不会也永远不会是安全标识符。任何人都可以复制Beacon ID。没有握手,没有加密。
实际上,苹果移动设备正试图隐藏您不扫描的信标。但Android没有。即使Android确实开始隐藏ID,也总会有其他方法来接收蓝牙信号并读取ID。所以"隐藏"显然不是解决方案。
有几种方法可以克服这种劫持攻击向量。有些信标通过在给定的时间间隔(即每天一次)更改它们来改变它们的UUID,Major,Minor,如果您知道最初的相互秘密,那么这些信标是唯一可预测的。硬件安全令牌使用相同的原则(即" RSA SecurID")。但据我所知,在这个功能中出售的野外没有任何信标。
很遗憾,目前在AltBeacon规范和/或任何其他制造商或库(也不适用于iBeacon)中没有现成的解决方案。