立場新聞 Stand News

離線藍牙通訊app Bridgefy 運作原理和安全風險

2019/10/13 — 17:19

作者提供

作者提供

【文:畸氏】

Bridgefy利用附近手機中的藍牙組成網狀網絡 (Mesh Network)進行短距離通訊。

使用教學可到:[教學] 斷網應急離線藍牙通訊app Bridgefy (iOS, Android)


運作原理

Bridgefy有4種模式。其中第2,3模式通過藍牙組成網狀網絡(Mesh Network)傳送訊息。第1種則利用兩部裝置之間的藍牙連結。

  1. 一對一模式 (One-To-One / Person-to-Person mode)
    (使用端到端RSA加密)
    可以在大約100m (330 ft)範圍內通訊。
 
一對一模式 (One-To-One / Person-to-Person mode)

2. 一對一遠距離模式 (One-To-One Long Distance / Mesh mode)
(使用端到端RSA加密)
如果有其他Bridgefy用戶在通訊雙方之間,可以通過接力將訊息傳到更遠的距離,接力的用戶無法存取訊息。

 
一對一遠距離模式 (One-To-One Long Distance / Mesh mode)

3. 廣播模式 (Broadcast mode)
(注意:聊天室內的廣播訊息沒有加密
進入Broadcast聊天室後,可以跟在附近並且已進入聊天室的任何用戶通訊,同一時間可自動連接最多6至7人。

廣播模式 (Broadcast mode)

4. 線上模式 (Online mode)
如一般通訊app可以通過網路傳訊


資訊安全隱憂

風險

  1. 無法防假訊息和誤導資訊
  2. Bridgefy官方承認沒有app可以100%避免竊聽,除了加密外沒有更好方法可以防止監控。
  3. 訊息或會經過第三方不可信的電話裝置,無法確保通訊對象的身份。理論上上述資料會經過加密,但需要密鑰管理(key management),但Matthew Green無法確定Bridgefy如何在伺服器離線的狀態下可以安全地密鑰管理。

私隱/網絡安全

  1. 機關或可收集Metadata中的裝置識別碼/機身編號 (IMEI, MEID, 或 ESN),透過網絡供應商找到裝置使用者
  2. 機關或可透過科技企業取得使用該app的用戶清單。例如WeChat在Android上有「回傳運行中的應用」(retrieve running apps)的權限
  3. 機關或可透過傳送網頁連結散播惡意程式去駭入目標裝置
  4. 網絡供應商可以追蹤用戶的位置、攔截用戶的短信和通話內容
  5. 智能燈柱可透過藍牙讀到裝置識別碼/機身編號 (IMEI, MEID, 或 ESN),從而得知誰到過該處

建議

  1. 使用主要手機以外的手機
  2. 不按不明網址
  3. 可不認證電話號碼,或使用太空卡

參考資料

資訊安全隱憂

其他

 

作者 Medium

標題為編輯所擬,原題為「Bridgefy運作原理和安全風險 離線藍牙通訊app (iOS, Android)」。

作者自我簡介:隱士現,是要使吾得過癮。

 

廣告
廣告

發表意見