Bridgefy運作原理和安全風險 離線藍牙通訊app (iOS, Android)

Khermit
Khermit
Oct 11 · 4 min read

Bridgefy利用附近手機中的藍牙組成網狀網絡 (Mesh Network)進行短距離通訊。

使用教學可到:[教學] 斷網應急離線藍牙通訊app Bridgefy (iOS, Android)


運作原理

Bridgefy有4種模式。其中第2,3模式通過藍牙組成網狀網絡(Mesh Network)傳送訊息。第1種則利用兩部裝置之間的藍牙連結。

  1. 一對一模式 (One-To-One / Person-to-Person mode)
    (使用端到端RSA加密)
    可以在大約100m (330 ft)範圍內通訊。
一對一模式 (One-To-One / Person-to-Person mode)

2. 一對一遠距離模式 (One-To-One Long Distance / Mesh mode)
(使用端到端RSA加密)
如果有其他Bridgefy用戶在通訊雙方之間,可以通過接力將訊息傳到更遠的距離,接力的用戶無法存取訊息。

一對一遠距離模式 (One-To-One Long Distance / Mesh mode)

3. 廣播模式 (Broadcast mode)
(注意:聊天室內的廣播訊息沒有加密
進入Broadcast聊天室後,可以跟在附近並且已進入聊天室的任何用戶通訊,同一時間可自動連接最多6至7人。

廣播模式 (Broadcast mode)

4. 線上模式 (Online mode)
如一般通訊app可以通過網路傳訊


資訊安全隱憂

  1. 無法防假訊息和誤導資訊
  2. Bridgefy官方承認沒有app可以100%避免竊聽,除了加密外沒有更好方法可以防止監控。
  3. 訊息或會經過第三方不可信的電話裝置,無法確保通訊對象的身份。理論上上述資料會經過加密,但需要密鑰管理(key management),但Matthew Green無法確定Bridgefy如何在伺服器離線的狀態下可以安全地密鑰管理。
  1. 機關或可收集Metadata中的裝置識別碼/機身編號 (IMEI, MEID, 或 ESN),透過網絡供應商找到裝置使用者
  2. 機關或可透過科技企業取得使用該app的用戶清單。例如WeChat在Android上有「回傳運行中的應用」(retrieve running apps)的權限
  3. 機關或可透過傳送網頁連結散播惡意程式去駭入目標裝置
  4. 網絡供應商可以追蹤用戶的位置、攔截用戶的短信和通話內容
  5. 智能燈柱可透過藍牙讀到裝置識別碼/機身編號 (IMEI, MEID, 或 ESN),從而得知誰到過該處

建議

  1. 使用主要手機以外的手機
  2. 不按不明網址
  3. 可不認證電話號碼,或使用太空卡

Enso Hermitage

科技相關新聞和教學

Khermit

Written by

Khermit

隱士現 是要使吾得過癮

Enso Hermitage

科技相關新聞和教學

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade