物聯網 (IoT) 為連接設備帶來了新的應用。制造商正在超越耳機和鍵盤。其中一個新用例尤其突出：應用程序較少依賴連續流，而是定期中繼少量數據。在遠程外圍設備正在傳遞有關其周圍環境的信息的傳感器應用中尤其如此，例如恒溫器、安全傳感器或醫療監控設備。同時，藍牙標準的進步使這些新應用成為可能。

經典藍牙和低功耗藍牙簡史

藍牙最初的規范自 1998 年就已經存在，第一款免提耳機于 1999 年出現在市場上。從那時起，它就被用于連接從電腦鼠標和鍵盤到便攜式揚聲器和耳機的所有東西。現在被稱為經典藍牙的標準，可覆蓋 79 個通道，在 50 米范圍內傳輸高達 3Mb/s 的速度，這使其可用于數據傳輸、流式音頻以及與其他智能手機共享圖片等。

雖然許多使用藍牙經典的設備都是電池供電的（至少是外圍設備），但電源從來都不是問題——因為這些組件的設計便于充電和更換電池。如果您的電腦鼠標的電池只使用了幾天也沒關系，您可以插入充電電纜或更換電池。

此后出現了一種新標準，即低功耗藍牙 (BLE)，以支持較低的帶寬速率，范圍從 125 Kb/s 到 2 Mb/s，除了經典藍牙所面向連接模式之外，還包括一種新的無連接模式。BLE 最大的進步是它節省電力，可以為設備供電更長時間。默認情況下，BLE 外設會休眠，直到它們準備好傳輸數據。結合以較低數據速率傳輸期間的較低功耗，BLE 設備的功耗通常僅為使用藍牙經典設備的 1-5%。它們的功耗在 15-20 微安之間，這意味著標準紐扣電池可以為大多數 BLE 設備供電多年。

重塑醫療物聯網

合理的數據傳輸速率加上低功耗使 BLE 設備對消費類應用（例如耳機和恒溫器）具有吸引力，但這只是故事的一部分。這些相同的屬性也使 BLE 成為連接醫療設備的理想選擇——也稱為醫療物聯網 (IoMT)。例如，血糖監測儀可以使用 BLE 將血糖水平傳送到智能手機，以便于監測。在醫院環境中，附在設備上的廉價 BLE 標簽可以使庫存跟蹤和定位變得更加容易。此外，BLE 對大量連接外圍設備的支持使其在可能涉及數百（或數千）連接醫療設備的臨床或醫院環境中更具價值。例如，想想護士的監測站。借助 BLE，您可以讓所有樓層的 ECG 和其他患者監護設備將遙測信息中繼到一個中心位置。與健康相關的可穿戴設備（例如心臟監測器和健身手表）的想法相同——所有這些設備都通過 BLE 中繼信息。

免除電纜、笨重的電池并啟用智能手機通信是向前邁出的一大步。但與任何創新一樣，也存在不可避免的風險。就醫療設備而言，這些風險不僅會導致音頻質量下降或電池壽命下降等不便。對于 IoMT，設備安全風險會直接危及患者安全。

醫療物聯網中的網絡安全

對于連接的醫療設備，網絡攻擊是對患者安全的巨大威脅。例如，對 BLE 無線電接口的攻擊可能會干擾 IoMT 設備的基本性能——這可能會傷害或可能殺死患者。類似這樣的多個漏洞已經在支持藍牙的醫療設備中被發現，導致廣泛宣傳的披露、強制緩解和設備召回。影響最大的例子之一是 SweynTooth 漏洞，它影響了許多 BLE IoMT 設備。影響是如此嚴重，以至于 FDA 向醫療設備制造商發布了一份安全通信，警告如果觸發其中一個漏洞會帶來危險——這可能導致設備崩潰、死鎖和凍結，甚至使攻擊者能夠繞過其安全保障措施.

SweynTooth（以及其他類似漏洞）的最大教訓是它讓制造商意識到供應鏈中的上游漏洞。盡管漏洞令人擔憂，但醫療設備制造商并未編寫有缺陷的代碼。事實上，他們并不知道他們的存在。他們只是從值得信賴的知名電子公司采購了藍牙片上系統SoC，并將其應用在他們的設備中。SoC 提供了漏洞，在產品發貨之前根本沒有進行足夠的安全測試，這使得它們所包含的每個系統都處于危險之中。

通過協議模糊測試發現隱藏的漏洞

SweynTooth 漏洞影響了多家經驗豐富的制造商，包括德州儀器、恩智浦、賽普拉斯、Dialog Semiconductors、Microchip、STMicroelectronics 和 Telink Semiconductor。這么多不同的制造商是如何受到影響的？問題是這些漏洞隱藏在協議棧中，使得檢測和診斷變得異常困難。雖然安全社區已經開發了一系列用于發現應用程序級漏洞的最佳實踐——包括可以與應用程序軟件和庫交叉檢查的威脅庫的常見策略和數據庫——但協議級漏洞更難查明。事實上，只有一種方法可以充分測試這類漏洞：一種稱為協議模糊測試的詳盡測試機制。

通俗地說，協議模糊測試將各種錯誤注入到通信交換中，以混淆連接另一端的實體并將其置于不正確的狀態。這可能涉及相當簡單的錯誤，例如發送數據包的多個副本，或者可能導致更復雜的協議損壞。這里有一些例子：

• 可以在單個數據包中設置指示連接開始和結束的標志。
• 數據包中的字段可能太大或太小。
• 數據包中的字段可以設置為無效值。
• 數據包可以亂序發送。

在許多情況下，在連接開始時發生的“握手”以建立安全性、加密和其他通信參數，是很容易被利用的目標。由于遠程設備根據握手期間建立的設置進行自我配置，因此特別損壞的數據包（或數據包序列）可能導致關閉或通信錯誤，需要手動重置。

在最壞的情況下，攻擊者可以針對握手本身，如 CVE-2019-19194 中所述。由于握手建立了安全和加密參數，攻擊者可以繞過通常會限制某些操作并啟用系統任意控制的控制。特別是對于物聯網設備，這可能會產生明顯的災難性影響。攻擊者可以指示設備報告不正確的遙測數據，忽略其他命令，通過向未經授權的系統報告數據來違反患者隱私規則，甚至管理可能致命的藥物劑量。

保護支持 BLE 的 IoMT 設備中的協議級漏洞

顯然，這種類型的漏洞是醫療設備制造商的一個嚴重問題——正如 FDA 在美國的關注和全球類似的監管審查所反映的那樣。但是保護連接設備的最佳方法是什么？對于初學者來說，這意味著實施驗證和驗證策略來識別 SoC 協議棧中的漏洞。制造商需要充當最后一道防線。畢竟，他們負責將受影響設備的警告通信、緩解策略和修復固件更新快速分發給患者和護理提供者。而且，如上例所述，即使是資源最充足的供應商也不能幸免于提供易受攻擊的芯片組。

然而，安全是一個旅程，而不是一個目的地。這就是為什么設備制造商至少必須堅持在產品發布之前從芯片組供應商那里得到補救更新。同時，他們還必須自己承擔對他們的設備進行廣泛的協議模糊評估——同時在 FDA 上市前許可提交中包括他們的驗證和驗證策略。

隨著 IoMT 設備的 BLE 連接變得越來越普遍，協議模糊驗證對于維護患者安全和對先進技術的信任將變得更加重要。幸運的是，fuzzing協議工具包變得更加廣泛可用和更容易使用——即使對于在網絡安全方面幾乎沒有經驗的質量控制團隊也是如此。考慮到芯片組供應商徹底復制、診斷、修復和驗證漏洞可能需要時間，現在是時候開始測試開發中的產品了。只需要看一下 SweynTooth，就會發現越晚發現漏洞，修復的成本就越高。