團隊探索跟蹤引發(fā)的藍牙實施問題

藍牙設(shè)備可能會泄露您的位置。這就是波士頓大學研究人員在他們的探索中發(fā)現(xiàn)的內(nèi)容，他們的論文“跟蹤匿名藍牙設(shè)備”由Johannes Becker，David Li和David Starobinski在“隱私增強技術(shù)論文集”中詳細介紹。

作者報告說他們設(shè)計了一種跟蹤藍牙設(shè)備的方法，盡管內(nèi)置了保護措施。

他們參加了斯德哥爾摩的隱私增強技術(shù)研討會，他們在那里開展了他們的工作：第三方算法可以跟蹤某些藍牙設(shè)備的位置。

The Brink是一個專注于波士頓大學研究的網(wǎng)站，于7月17日討論了該團隊的調(diào)查結(jié)果。團隊成員貝克爾被問到是什么讓他們追逐這個話題。“我們一直在研究不同的物聯(lián)網(wǎng)協(xié)議，并試圖找到這些產(chǎn)品的隱私問題，”貝克爾告訴The Brink。“基本上每個人現(xiàn)在都以某種方式，形狀或形式攜帶藍牙設(shè)備，這使得它非常重要。”

Brink說，由于有效載荷信息以不同于地址信息的速率更新，因此藍牙設(shè)備之間的通信閃爍描繪了可識別的模式。在發(fā)現(xiàn)此漏洞后，研究人員決定測試第三方如何使用它來跟蹤單個設(shè)備。

PCMag India：當您通過藍牙連接兩個設(shè)備時，其中一個設(shè)備作為連接的主要部分，另一個設(shè)備作為外圍設(shè)備，發(fā)送與連接相關(guān)的數(shù)據(jù)，包括隨機地址，類似于筆記本電腦上的IP地址或PC，到主設(shè)備。

嗅探器算法可用于解碼隨機化。即使這個隨機地址定期重新配置，也要進行地址處理。

“雖然這不會泄露個人信息，但它可以讓第三方找到有源藍牙設(shè)備，從而使人們能夠使用這些設(shè)備。從理論上講，這個問題可以用來跟蹤任何藍牙設(shè)備的位置，無論是手機，智能手機或耳機，“ PCMag India說。

也討論這個藍牙研究是Ravie Lakshmanan在TNW：

為了簡化設(shè)備配對，BLE(代表藍牙低功耗)使用公共非加密廣告渠道來宣布附近設(shè)備的存在。該協(xié)議最初吸引了隱私問題，用于在這些信道上廣播設(shè)備的永久藍牙MAC(媒體訪問控制)地址 - 唯一的48位標識符。

但是，BLE嘗試通過讓設(shè)備制造商使用周期性變化的隨機地址而不是永久MAC地址來解決問題。

因此，設(shè)備可以使用周期性變化的隨機地址而不是其永久的媒體訪問控制(MAC)地址。還有一個問題：作者展示了實施此類匿名措施的設(shè)備實際上可能容易受到被動跟蹤的影響。

總部位于珀斯的iLounge周五翻譯了這可能意味著什么：“最近藍牙技術(shù)的一個缺陷允許個人跟蹤Apple手表，Mac，iPad和iPhone。運行Windows 10和Fitbit可穿戴設(shè)備的平板電腦和筆記本電腦也很脆弱，但出于某些原因Android設(shè)備不受影響。“

Android被發(fā)現(xiàn)不會受到這一切的影響。研究人員在他們的論文中指出，“我們描述了一個影響Windows 10，iOS和macOS設(shè)備的跟蹤漏洞，只要它們被對手持續(xù)觀察到。” Android設(shè)備似乎不容易受到我們的被動嗅探算法的攻擊，因為它們通常不會發(fā)送包含合適識別令牌的廣告信息。“

該怎么辦?

iLounge的Samantha Wiley 表示解決方案并不復雜，只是“如果您擔心被跟蹤，請關(guān)閉藍牙并重新啟動。這可以通過macOS'菜單欄上的系統(tǒng)設(shè)置或iPhone的設(shè)置來完成“。Brink同樣表示，阻止這種安全漏洞“就像關(guān)閉并重新啟動設(shè)備的藍牙連接一樣簡單，至少在Windows 10和iOS設(shè)備的情況下如此”。