Studenten Bjørn Hegnes syklet rundt i Oslo og samlet informasjon fra flere populære bluetooth-hodetelefoner som ikke endrer MAC-adresse, hvilket betyr at de kan brukes til å spore brukeren. For prosjektet ble Hegnes tildelt Noroffs Diamond award for beste studentprosjekt og det har vakt oppmerksomhet også utenfor landets grenser.
Endrer ikke mac-adresse
Bjørn Hegnes samlet 1,7 millioner bluetooth-meldinger fra et dusin ulike modeller av hodetelefoner som en del av sitt førsteårsprosjekt på universitetet Noroff.
Analysen var mulig fordi en rekke bluetooth-enheter ikke endrer mac-adresse med jevne mellomrom. Uten randomisering er det trivielt å pinge enhetene gjentagne ganger og avsløre eierens presise plassering.
Bluetooth-mottager med 100 m radius
Dataene ble innsamlet mens Hegnes syklet rundt i Oslo med en bluetooth-mottager som fanget opp signaler innenfor en radius av 100 meter.
Annonse
Hegnes mottok signaler fra 9149 unike bluetooth-sendere, av dem 129 headsets.
Internet of things
Et sett bluetooth-ørepropper eller hodetelefoner er ikke det man først forestiller seg når man tenker på internet of things – men også slike enheter kan tilsynelatende utgjøre en risiko for privatlivets fred.
– For folk som blir forfulgt er dette spesielt skummelt. Det viser at det ikke hjelper bare å bytte telefonnummer. Man kan kjøre rundt og lete etter MAC-adressen til kjøleskap, bærbar datamaskin, smart-tv eller hodetelefon, sa Hegnes til NRK.
Aktualisert post Snowden
Randomisering av mac-adresser ble aktualisert av avsløringene som tidligere system-admin ved NSA, Edward Snowden lekket.
I 2014 lovet Internet Engineering Taskforce å skjerpe protokollene for å forhindre spionasje av den type Snowden avslørte, men en rekke hodetelefoner og ørepropper på bluetooth low energy kjører fremdeles på statiske mac-adresser rett og slett fordi funksjonaliteten inntil nylig har vært umoden. Eldre modeller vil ikke gjenkjenne enheten om den byttet adresse og måtte i tilfelle pares hver gang.
Du kan lese Bjørn Hegnes’ førsteårsoppgave ved Noroff, “Location Tracking of WIFI Access Point and Bluetooth Devices”, ved å forfølge henvisningen nedenfor.
Annonse