备受追捧的低功耗蓝牙(BLE)信标协议带来的不仅是近在咫尺的隐私风险,它可从某个距离之外获取用户手机或可穿戴设备的移动及信息,从而追踪用户行迹。
BLE最佳时间是提供少量的用户ID屏蔽——用户ID不能太多以免iBeacons成为广告商的无用之物——但即便这一点也被忽略了。
Context信息安全公司表示,这种随机化要么执行不力要么被低廉的可穿戴设备或高大上的iPhone完全忽略。这样一来尾随BLE所有者所需的不过是一台智能手机及一款app。
蓝牙特别兴趣组织勾勒出“最佳实践”,但Context研究人员Lester发现“随机的”地址要么与某台设备绑定要么对它们的“随机性”进行了哈希,“我们发现一些设备为后续广告数据包更改了MAC地址。有时候这种行为很容易识别,因为他们有一个计数器增加了地址的最后几个字节,并且经常会发送出不变的识别信息。”
Lester还指出,虽然BLE本应只覆盖50米的范围,但如果你向通过定向天线进行欺骗,这个范围可扩大。具体可见此处。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。