Насколько безопасен iBeacon?

iBeacon — это многообещающая новая технология. Но насколько это безопасно? Bluetooth с низким энергопотреблением (BLE) может быть безопасным, если включено шифрование. Однако это только в том случае, когда связь установлена. Но платформа iBeacon не предназначена для обеспечения связи между устройствами. Невозможно даже общаться через инфраструктуру iBeacon (тогда следует использовать CoreBluetooth). iBeacon может только рекламировать (данные). Но защищены ли эти рекламные пакеты или они открыты для публики?

Мне не хватает более подробного (технического) отчета по iBeacon.

Еще не очень понятно: кто начинает «говорить»? Это рекламное устройство iBeacon или приложение/устройство для мониторинга. Всегда ли рекламное устройство iBeacon является рекламным?


ios security bluetooth-lowenergy ibeacon
person Safaci    schedule 26.11.2013    source источник
comment
Насколько безопасен X? Какого ответа вы ожидаете? 95% безопасно? Безопасность до 100 метров? Вы задаете количественный вопрос для неколичественной ситуации. И это при условии, что даже был ответ, который не зависел от вашей реализации, как это было предложено в ответе davidgyoung ниже.   -  person Flimzy    schedule 27.11.2013

Ответы (4)


arrow_upward
15
arrow_downward

Безопасность полностью зависит от вас.

iBeacons безопасны в том смысле, что они представляют собой очень простые устройства, которые ничего не делают, кроме как передают трехкомпонентный идентификатор (и измерение мощности передатчика). Они всегда рекламируют, если вы не сделаете все возможное, чтобы остановить их.

Любой может увидеть этот идентификатор, так что лучше не держать его в секрете! На прошлой неделе, например, я пошел в магазин Apple в Вашингтоне, округ Колумбия, и использовал свой Android приложение iBeacon Locate, чтобы узнать трехкомпонентный идентификатор iBeacon возле входа в магазин Apple.

С помощью этой информации я затем настроил свой собственный iBeacon для передачи того же самого идентификатора части дерева, что теоретически позволило мне отправлять предложения приложениям, настроенным для ответа на iBeacon Apple.

Является ли это проблемой безопасности? Только если вы разрабатываете систему, которая ошибочно предполагает, что идентификатор iBeacon является секретным.

Интересно, что API-интерфейсы Apple для iOS запрещают сканирование полностью неизвестных идентификаторов iBeacon (вы должны знать хотя бы первую из трех частей идентификатора), предполагая, что они хотят сохранить эту секретность. Учитывая, что Android и OSX не предлагают такого запрета, лучше не ожидать, что ваш идентификатор iBeacon останется в секрете.

person davidgyoung    schedule 26.11.2013
comment
Хорошая шутка, Дэвид. :) - person allprog; 27.11.2013
comment
Старайтесь изо всех сил, чтобы шагнуть по ним, как правило, потребуется использовать молоток. - person gnasher729; 17.07.2014
comment
Итак, что такое UUID? :П - person Kenny; 09.02.2016
comment
@davidyoung, что вы имеете в виду, говоря, что API-интерфейсы iOS от Apple запрещают сканирование на наличие совершенно неизвестного iBeacon? Очевидно, вы установили приложение, которое распознает iBeacons, которые должна знать iOS. Тем не менее, разве iOS не всегда сканирует маяки в фоновом режиме? - person dr.doom; 29.02.2016
comment
На Android, OSX, Linux, Windows 10 и других платформах вы можете видеть любой маяк независимо от UUID Proximity. Только iOS ограничивает обнаружение маяков теми, для которых вы предварительно указали Proximity UUID. Несмотря на то, что iOS сканирует все маяки в фоновом режиме, она отказывается показывать их любому приложению, которое сначала не предоставляет Proximity UUID. - person davidgyoung; 29.02.2016
comment
У @davidgyoung просто есть простая идея, которая больше похожа на реализацию time-based token (UUID изменился со временем, и серверная сторона может распознать это изменение) в IBeacon, как вы думаете, это достаточно безопасно для аутентификации? как используется в плате за парковку? - person Shawn; 09.05.2017
comment
Это может работать на любой платформе, кроме iOS, которая запрещает просмотр рекламы iBeacon, если вы заранее не знаете UUID. - person davidgyoung; 09.05.2017

arrow_upward
6
arrow_downward

Безопасность для iBeacon не поддается интерпретации, поскольку между получателем и iBeacon не установлено соединение. iBeacon — это не что иное, как периферийное устройство BLE, рекламирующее специальный пакет. Вы можете прочитать подробности в этом вопросе SO: Что такое профиль iBeacon Bluetooth

person allprog    schedule 26.11.2013

arrow_upward
5
arrow_downward

Лучше всего думать об iBeacon как об особом типе дорожного знака. Программное обеспечение на iOS может обнаружить дорожный знак и прочитать, что на нем напечатано. Но любой может пойти в зоопарк Сан-Диего, увидеть вывеску «Зоопарк Сан-Диего, дом обезьян», сделать копию этой вывески и повесить ее где-нибудь в Шанхае возле полицейского участка. Так что, если вы находитесь в Шанхае, и ваше приложение зоопарка Сан-Диего запущено и говорит вам, что вы входите в дом обезьян, не называйте полицейских обезьянами.

person gnasher729    schedule 17.03.2014

arrow_upward
2
arrow_downward

Несмотря на все внимание со стороны технологического мира, маяки еще не стали массовыми, потому что у бизнеса есть немало проблем с безопасностью, связанных с маяками. Особенно с учетом того, что команде удалось взломать CES 2014 Scavenger Hunt, приложение с маяком, даже не присутствуя на месте физически. Поэтому, когда дело доходит до разработки приложений для бесконтактных решений, вы должны включить модель безопасности, которая устраняет распространенные связанные с этим риски, такие как спуфинг устройства и перехват «человек посередине». Еще одна важная вещь, которую следует отметить, заключается в том, что используемый вами механизм обеспечения компенсации должен соответствовать соответствующему приложению. Здесь мы составили контрольный список различных способов оценки безопасности маяка; http://blog.beaconstac.com/6-myths-around-beacon-security-and-privacy/

person Devika    schedule 24.09.2014