Momentum-Firmware项目中的锁屏RPC控制分离功能解析

背景介绍

在物联网设备安全领域，锁屏状态下的远程过程调用(RPC)控制一直是一个需要谨慎权衡的功能。Momentum-Firmware作为一款开源固件项目，近期针对Flipper设备实现了一个重要的安全增强功能：将锁屏状态下的RPC控制权限细分为蓝牙(BLE)和USB两种连接方式。

功能需求分析

传统实现中，"允许锁屏时RPC"选项是一个全局开关，同时控制USB和蓝牙两种连接方式的RPC权限。这种设计存在明显的安全性和便利性矛盾：

1. 安全性考虑：USB连接在物理接触场景下风险较高，设备丢失后可能通过直接连接被操控
2. 便利性需求：蓝牙连接通常需要配对认证，且用户可能需要通过手机应用远程定位或触发警报寻找丢失设备

技术实现方案

Momentum-Firmware通过以下技术改进实现了连接方式的权限分离：

1. 配置系统扩展：在设置中新增独立选项，分别控制USB和BLE在锁屏状态下的RPC权限
2. 权限检查机制：在RPC请求处理流程中增加连接类型判断，根据当前连接方式和配置决定是否允许操作
3. 安全隔离：确保两种连接方式的权限控制完全独立，互不干扰

安全优势

这种分离设计带来了多重安全好处：

• 最小权限原则：用户可以根据实际需要仅开放必要的连接通道
• 风险隔离：即使开放蓝牙RPC，物理接触的攻击面仍然受限
• 应急功能保留：在保证基础安全的同时，不牺牲设备找回等实用功能

使用场景

典型应用场景包括：

1. 日常使用：禁用USB RPC但启用BLE RPC，既防止直接连接攻击，又不影响手机应用控制
2. 开发调试：临时启用USB RPC进行调试，同时保持生产环境安全
3. 设备丢失：通过保持BLE RPC可用，实现远程定位和警报触发

实现考量

开发团队在实现时特别注意了以下方面：

• 向后兼容性，确保旧配置文件能正确迁移
• 用户界面清晰表达两种连接方式的区别
• 默认配置倾向于安全优先原则

总结

Momentum-Firmware的这一改进展示了嵌入式设备安全设计的一个重要理念：安全控制应该尽可能细粒度化。通过将RPC权限按连接类型分离，既提升了安全性，又保持了使用便利性，为物联网设备的安全管理提供了一个优秀实践案例。