問:藍芽耳機已經幾乎成為手機必備裝置,因為越來越多手機不再有耳機插孔,而在無線充電日漸普及情況下,手機不再有USB插口作充電用途都只是遲早問題。但最近一名挪威大學生的研究發現,藍芽耳機可能會被國安國保或有心人士利用,作為跟蹤你的工具,引來私隱外洩的疑慮,能否給大家介紹一下?
李建軍:根據挪威公營廣播公司報道,由於大部分藍芽耳機,都未有隨機更改耳機的MAC地址,因此,一名挪威大學生在其一項網絡安全研究,以騎單車在奧斯陸城市範圍內巡邏,透過藍芽耳機設備,成功追蹤到九千多人的行蹤。換言之,只要中共情報人員知道你耳機的MAC地址,而你又長期佩戴藍芽耳機的話,中共要取得你的行蹤,簡直輕而易舉。
問:挪威大學生利用藍芽設備,以騎單車在市區巡邏就隨手取得九千多人的行蹤,MAC地址到底是用來做甚麼的?
李建軍:MAC地址,在每一個網絡設備獨一無二的辨識碼,而藍芽設備要成功通訊,一定要發放自己的MAC地址,藍芽設備發射訊號範圍一般長達十米,有部分功率更大的設備就射程更遠,例如類似蘋果AirPods Max一類大型耳機。這也解釋到,為何挪威大學生可以確認有整整九千多人行蹤如此誇張。
問:除了藍芽耳機,還有甚麼常用的藍芽設備,有可能因MAC地址問題,而隨時被人濫用作跟蹤的工具?
李建軍:現時最危險,除了藍芽無線耳機,就是智能手錶,因為有相當多智能手錶,都是利用藍芽維持與手機的通訊,甚至透過手機與外界連接。該名挪威大學生,暫時未有研究智能手錶設備的MAC地址問題,但我相信,遲早都會有人做這個研究,因為有智能手機的人,不一定會用耳機,但智能手錶由於在醫療上的功能,所以有不少人會長期佩戴,這對中國當局而言,是十分之吸引的設備。
問:如果藍芽定期自行隨機更改MAC地址,會否造成混亂?
李建軍:由於藍芽的射程範圍有限,加上MAC地址都是頗長的十六進位數字,因此出現相同MAC的機會不大,除了有人故意作出干擾,當然就又作別論。而人類離用盡MAC地址所有數字組合,仍然有一段十分之長的路,所以不用擔心造成混亂。
問:藍芽耳機以至智能手錶這麼小巧,又能否做到自行隨機產生MAC地址這種功能?
李建軍:智能手錶要做到自行隨機產生MAC地址是沒有問題,因為現時大部分智能手錶都擁有等同以往舊型號手機差不多運算能力,他們都使用三十二位元作業系統,甚至未來可以去到六十四位元,當智能手錶可以做到不少醫學要求高端功能時,隨機產生MAC地址,純屬作業系統的問題。藍芽耳機都問題不大,因為現時藍芽耳機為了做到不少與智能手機配合的功能,都有運算能力相當不錯的處理器,因此,這純粹是軟件開發問題。
問:對於中國的聽眾,面對藍芽私隱安全的問題,有甚麼忠告?
李建軍:在藍芽耳機以及智能手錶未能做到全面隨機產生MAC地址,並定期自行更改前,應儘量避免使用藍芽耳機以及智能手錶,特別在一些並無手機訊號的區域。藍芽訊號由於與手機網絡無關,所以中國當局理論上,可以利用藍芽訊號,追蹤你到天涯海角。
現時未到一個智能手錶以及藍芽耳機是必須品的時候。況且縱使iPhone都有適用於Lightning接口的耳筒轉換器可供使用。當然,在可見將來,如果歐盟或英國通過法律,強制廠商使用比較強的私隱保護技術時,相信MAC地址定期隨機更改,應是技術標準的一部分,屆時就不用再擔心中國當局濫用技術漏洞作監視人民之用。