image

Mac-adres bluetooth-koptelefoon maakt volgen van mensen mogelijk

vrijdag 3 september 2021, 16:22 door Redactie, 10 reacties

Eigenaren van een bluetooth-koptelefoon blijken eenvoudig te volgen, aangezien er van een vast mac-adres gebruik wordt gemaakt, zo stelt een Noorse onderzoeker. Voor zijn onderzoek maakte Bjorn Martin Hegnes gebruik van een zelf in elkaar gezet apparaat voor het opvangen van mac-adressen.

Een mac-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het mac-adres, dat continu door apparaten wordt uitgezonden, is het mogelijk om mensen te volgen. Als oplossing werd het genereren van willekeurige mac-adressen bedacht. Veel koptelefoons maken hier echter nog geen gebruik van, ontdekte Hegnes.

Via zijn apparaat verzamelde hij in Oslo over een periode van twaalf dagen vijf miljoen datapunten van mac-adressen en wifi-netwerken. De onderzoeker zag allerlei apparaten voorbijkomen, waaronder smartphones, voertuigen, fitnesstrackers en koptelefoons. Volgens Hegnes is het eenvoudiger om mensen via hun koptelefoon te volgen dan hun smartphone, aangezien smartphones wel van willekeurige mac-adressen gebruikmaken.

De verzamelde data maakte het mogelijk om minstens 129 koptelefoons over een periode van meer dan 24 uur te volgen. "Wat interessant aan de data is, is dat het beste voorbeeld om bewegingen te tracken geen voertuigen, smartphones of fitnesstrackers zijn, maar headsets die geen willekeurig mac-adres hebben, wat het eenvoudiger maak om de bewegingen van een individuele headset te volgen dan de smartphone van het individu", aldus de onderzoeker.

"Voor mensen in een kwetsbare positie is dit met name beangstigend. Dit laat zien dat het niet helpt om alleen je telefoonnummer te wijzigen. Iemand kan gewoon rondrijden en zoeken naar mac-adressen van koelkasten, laptops, smart-tv's en koptelefoons", zegt Hegnes tegen de Noorse televisieomroep NRK. Verschillende fabrikanten van koptelefoons zijn inmiddels begonnen om ook willekeurige mac-adressen te gebruiken, maar andere, zoals Sennheiser, nog niet.

Verder krijgen gebruikers het advies om niet hun naam voor hun bluetooth-apparaat te gebruiken. Zeker 36 mensen hadden voor hun bluetooth-apparaat hun volledige naam gegeven, wat identificatie eenvoudig maakt. Verder waren er veel meer apparaten waarbij iemand zijn voor- of achternaam of andere potentiële identificeerbare informatie had gebruikt.

Naar aanleiding van zijn eigen onderzoek heeft Hegnes besloten om al zijn apparaten van generieke namen te voorzien die niet in de menigte opvallen. Daarnaast schakelt hij de draadloze mogelijkheden van zijn apparatuur uit als die niet nodig zijn en gebruikt hij een bedrade koptelefoon.

Image

Reacties (10)
03-09-2021, 19:03 door Anoniem
brb, even langs elk huis in een 5km-radius rijden om te kijken of mijn partner haar mac-adres te vinden is om haar te betrappen.
03-09-2021, 20:30 door Anoniem
Bij mij gaat Bluetooth volgens mij automatisch uit wanneer ik er een audiostekker in steek.
03-09-2021, 20:39 door [Account Verwijderd]
Door Anoniem: brb, even langs elk huis in een 5km-radius rijden om te kijken of mijn partner haar mac-adres te vinden is om haar te betrappen.

Ik kan me voorstellen dat wanneer je daar tijd voor maakt je vrouw er vandoor wilt.
03-09-2021, 20:58 door Anoniem
Oh jeetje wat erg.
Wel ik zal mijn headset maar dan uitschakelen als ik met de trein door Nederland reis met mijn OV-chipkaart langs alle camera's. (oh wacht...)

Het is leuk dat Hegnes zelf al zegt apparaten van generieke namen te voorzien om niet op te vallen. Dan hebben we het dus niet meer over bluetooth tracking maar WIFI tracking. Althans ik heb nog geen headset meegemaakt die ik kan hernoemen zonder te connecten met een PC waar het enkel lokaal hernoemd wordt.

En uiteraard werkt dit enkel als je overal beacons opzet want die do it yourself kit werkt tot 100 meter in bebouwd gebied dus dan mag je lekker lang gaan rond rijden tenzij je natuurlijk willekeurig mensen target.
Wat is de toegevoegde waarde vergeleken bij het plaatsen van een bug, beacon op materiaal waar je target mee beweegt en je enkel die data pakt?

Dit is dus niks anders dan wardriving en ook absoluut niet origineel.
https://nakedsecurity.sophos.com/2015/09/10/us-cop-goes-wardriving-to-sniff-out-stolen-gadgets-by-mac-address/
03-09-2021, 21:11 door Anoniem
Er hangt apparatuur langs de weg die dit soort informatie verzamelt, toegestaan door de lokale autorteiten. Ik ken geen enkele werkbare anonimisatie, dus dit is altijd illegaal. Maar het gebeurt op grote schaal.

En je hoeft helemaal niet rond te rijden, leg een Bluetooth computer (smartphone, laptop, etc.) aan de straatzijde van je woning in een woonwijk en kijk wie er langskomt en wanneer. Auto's zijn zo makkelijk te volgen en je ziet sowieso apparatuur uit de hele omgeving. Bluetooth is niet uit te schakelen in bijna alle nieuwe auto's en de hardware is vaak al jaren oud in een nieuwe auto en het wordt niet bijgehouden gedurende de tijd dat auto rondrijdt. Vraag en klaag bij de autoproducent.
04-09-2021, 00:15 door [Account Verwijderd]
Door Anoniem: Er hangt apparatuur langs de weg die dit soort informatie verzamelt, toegestaan door de lokale autorteiten. Ik ken geen enkele werkbare anonimisatie, dus dit is altijd illegaal. Maar het gebeurt op grote schaal.

En je hoeft helemaal niet rond te rijden, leg een Bluetooth computer (smartphone, laptop, etc.) aan de straatzijde van je woning in een woonwijk en kijk wie er langskomt en wanneer. Auto's zijn zo makkelijk te volgen en je ziet sowieso apparatuur uit de hele omgeving. Bluetooth is niet uit te schakelen in bijna alle nieuwe auto's en de hardware is vaak al jaren oud in een nieuwe auto en het wordt niet bijgehouden gedurende de tijd dat auto rondrijdt. Vraag en klaag bij de autoproducent.

Het is wachten op de eerste drive-by / drive-past ransomware aanvallen.
04-09-2021, 09:09 door Anoniem
Alles wat draadloos is is te traceren er moet namelijk altijd verkeer door de lucht gaan en in dat verkeer zitten unieke kenmerken. Dus knap van die Noorse onderzoeker maar dat is kennis uit begin 1900 uit de tijd van Marconi.
04-09-2021, 13:38 door Anoniem
Ik heb een draadloze headset waar je sd micro kaart erin kunt doen OF via bluetooth kunt luisteren OF gewoon de radio kan beluisteren. Heb hier bewust voor gekozen, vooral om de radio support. Ik zal voortaan de bluetooth van de headset niet meer aanzetten!
05-09-2021, 00:01 door Anoniem
De onderzoeker heeft dus niets nieuws bewezen en vooral duidelijk gemaakt dat hij zich in geen enkel eerder o derzoek verdiept heeft dat al jaren bestaat. Het zou pas bijzonder zijn als hij kon aantonen dat volgen niet meer mogelijk zou zijn doordat fabrikanten na 25 jaar eindelijk eens de Bluetooth apparaten zijn gaan beveiligen met random mac adressen en waarschuwing voor gevolgen als je een apparaat een herkenbare naam geeft dat iedereen kan zien.
05-09-2021, 02:16 door Anoniem
Joh. Dat snap toch iedereen. Waarom denk je dar ze van die beacon apparaten in supermarkten en winkelstraten hebben. Daarom nooit je wifi en anderen signalen aan laten staan als je ze niet gebruikt. Dit zijn basics.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.