iBeacon 是一项很有前途的新技术。但它有多安全?启用加密后,低功耗蓝牙 (BLE) 可以确保安全。但是,这仅是建立通信时的情况。但 iBeacon 框架并不意味着允许设备之间的通信。甚至无法通过 iBeacon 框架进行通信(然后应该使用 CoreBluetooth)。iBeacon 只能做广告(数据)。但是这些广告包是安全的还是对公众开放的?
我缺少关于 iBeacon 的更详细(技术)报告。
另一件事不是很清楚:谁开始“说话”?是广告 iBeacon 设备还是监控应用程序/设备。广告 iBeacon 设备是否一直在做广告?
安全性完全取决于您。
iBeacon 是安全的,因为它们是非常简单的设备,除了传输 3 部分标识符(和发射器功率测量)之外什么都不做。除非您竭尽全力阻止他们,否则他们总是在做广告。
任何人都可以看到这个标识符,所以你最好不要指望保密!例如,上周,我去了华盛顿特区的 Apple Store,并使用我的 Android iBeacon Locate 应用程序在 Apple Store 入口附近找出 iBeacon 的三部分标识符。
有了这些信息,我将自己的 iBeacon 配置为传输相同的树部件标识符,理论上使我能够将报价推送到配置为响应 Apple 的 iBeacon 的应用程序。
这是一个安全问题吗?仅当您设计的系统错误地假定 iBeacon 标识符是机密时。
有趣的是,Apple 的 iOS API 禁止扫描完全未知的 iBeacon 标识符(您至少必须知道三部分标识符中的第一个),这表明他们希望保持这种保密性。鉴于 Android 和 OSX 没有提供此类禁令,最好不要期望您的 iBeacon 标识符保密。
iBeacon 的安全性无法解释,因为接收器和 iBeacon 之间没有建立连接。iBeacon 只不过是一个广播特殊数据包的 BLE 外围设备。您可以在这个 SO 问题中阅读详细信息:什么是 iBeacon 蓝牙配置文件
您最好将 iBeacon 视为一种特殊类型的路标。iOS 上的软件可以检测路标并读取其上打印的内容。但是任何人都可以去圣地亚哥动物园,看到一个标有“圣地亚哥动物园,猴屋”的标语,复制该标语并将其贴在上海某处靠近警察局的地方。因此,如果您在上海,并且您的圣地亚哥动物园应用程序正在运行,并告诉您您正在进入猴子屋,请不要称警察为猴子。
尽管来自科技界的所有关注,但信标尚未成为主流,因为企业对信标有很多安全问题。尤其是一个团队已经成功破解了 CES 2014 Scavenger Hunt,这是一个由信标驱动的应用程序,甚至没有亲临现场。因此,在为接近解决方案开发应用程序时,您应该结合一个安全模型来解决所涉及的常见风险,例如设备欺骗和中间人拦截。另一个需要注意的重要事项是,您采用的补偿安全机制应该适合相关应用程序。我们在这里编制了一份关于评估信标安全性的各种方法的清单;http://blog.beaconstac.com/6-myths-around-beacon-security-and-privacy/