隨著移動互聯(lián)網(wǎng)的觸角滲透到我們?nèi)粘Ｉ畹拇蟛糠址矫?，智能手機現(xiàn)在已經(jīng)成為大多數(shù)用戶的標(biāo)配，所以許多人或多或少遇到了各種騷擾電話。這些騷擾電話是如何實現(xiàn)“精確制導(dǎo)”的？央視3.15晚會給了我們答案——WiFi探針盒子。   WiFi探針到底是怎么竊取用戶隱私的？  

這些曝光的公司將探針盒子放在交通繁忙的地方，如商場、超市和便利店，然后通過WiFi探測技術(shù)竊取用戶隱私。在獲得用戶手機的Mac地址后，他們通過大數(shù)據(jù)生成用戶畫像，為騷擾電話提供“地圖”。

WiFi探針實際上并不是一項新技術(shù)，這是一種基于無線握手協(xié)議來識別AP(無線訪問接入點)覆蓋范圍內(nèi)已開啟WiFi功能移動終端的被動監(jiān)測技術(shù)。注意這個“被動”，本質(zhì)上來說WiFi探針盒子相當(dāng)于是一個提前布置的“陷阱”，就等各位手機用戶主動跳進去了。
WiFi探針“探到”的信息其實是手機主動發(fā)送的，這是因為WiFi技術(shù)采用的是IEEE802.11協(xié)議集，這種技術(shù)要求數(shù)據(jù)被封裝成幀之后，需要讓幀以固定格式在數(shù)據(jù)鏈路層傳輸。AP負(fù)責(zé)發(fā)送BeaconFrame(信標(biāo)幀)，告知移動設(shè)備這里有一個AP網(wǎng)絡(luò)存在，而手機等設(shè)備則會持續(xù)發(fā)送Probe Request(探測請求幀)去尋找附近可用的AP。這個探測請求幀中，就包含了設(shè)備MAC地址、RSSI值(信號強度值)等等。

一切都為精準(zhǔn)營銷服務(wù)

如果你要問這種WiFi探針盒子的合法性，只能告訴你的是，這個小玩意處在合法和違法之間的灰色地帶。此前公安部的82號令要求，各非經(jīng)營上網(wǎng)服務(wù)的場所，只要面向公眾提供WiFi服務(wù)，都需要安裝互聯(lián)網(wǎng)安全審計系統(tǒng)。因此對于只能被動感知范圍內(nèi)手機，而不能為開啟WiFi功能的手機提供互聯(lián)網(wǎng)接入，因此WiFi探針盒子并不受安全審計系統(tǒng)的管控。

 

 

但是問題出在另一個方面，從我國在2018年5月1日正式實施的《信息安全技術(shù)個人信息安全規(guī)范》來看，手機的MAC地址明顯屬于個人信息而非個人敏感信息。但是，WiFi探針盒子的持有者在在商場、超市、便利店等公共場所，通過被動地與個人信息主體交互的方式來收集，到底是用戶“默示同意”的合法舉措，還是不經(jīng)過“明示同意”的非法行為，這一點目前則顯得較為模糊。

之所以這些公司和某些商家需要獲得用戶的MAC地址，是因為其唯一性。MAC(Media Access Control)直接翻譯過來就是媒體訪問控制地址，這是一串十六進制數(shù)組成的設(shè)備身份證，用以在網(wǎng)絡(luò)中唯一標(biāo)示一個網(wǎng)卡，并且由于一部手機只有一個單獨的WiFi模塊，所以一個MAC地址也就對應(yīng)了一部手機。

 

 

雖然MAC地址并不能顯示出設(shè)備持有者的真實信息，但是根據(jù)同一MAC地址被不同探針識別的時間，可以分析用戶的移動軌跡，而通過MAC地址出現(xiàn)在后臺的頻率，就可以進行區(qū)別新老客戶、到店客流量統(tǒng)計、客戶量峰值、客戶駐店時長、到店周期、訪問用戶手機品牌等有效商業(yè)數(shù)據(jù)，最終用來改善零售店布局，確定促銷和銷售的時間，測試廣告的效果等。

從MAC地址到手機號的神奇魔術(shù)

從不能反應(yīng)真實信息的MAC地址，到關(guān)聯(lián)用戶本身的這一過程，其實才是侵犯用戶隱私的關(guān)鍵環(huán)節(jié)。隨著移動互聯(lián)滲透到日常生活的方方面面，幾乎所有的APP或多或少都在收集用戶信息，但是除了像BAT這樣的巨頭，能夠建立大而全的用戶數(shù)據(jù)庫之外，小廠商掌握的信息更多是碎片化的，可能這個APP知道你喜歡吃火鍋，那個APP知道你喜歡數(shù)碼產(chǎn)品。而為了向廣告主提供精準(zhǔn)營銷服務(wù)，就出現(xiàn)了將碎片化信息整合起來的“中間商”。

 

 

早在2013年，紐約時報就發(fā)布報告稱，高檔連鎖百貨集團Nordstrom將在自家商場收集的MAC地址數(shù)據(jù)，出售給下游的廣告營銷商。而如今央視3·15晚會反應(yīng)的狀況，其實是第三方數(shù)據(jù)公司的亂象——以MAC地址作為基礎(chǔ)的身份識別，對接內(nèi)部自有數(shù)據(jù)、廣告投放數(shù)據(jù)和第三方數(shù)據(jù)(如運營商數(shù)據(jù)等)，建立MAC地址、IMEI、手機號之間的匹配關(guān)聯(lián)關(guān)系庫。當(dāng)然，這是主動行為，被動的話就是黑客通過撞庫的方式來說完成，把從不同來源的脫庫數(shù)據(jù)互相匹配，最后清洗出有用的信息，再進行出售。

簡而言之，WiFi探針盒子拿到的MAC地址盡管并不敏感，但是這不妨礙某些不法分子用“多米諾骨牌”式的一環(huán)套一環(huán)，從MAC地址匹配到手機的IMEI(手機序列號)，再到手機號碼。而拿到你的號碼之后，再結(jié)合之前通過WiFi探針得到用戶在哪些店鋪停留的時間更長、更愛吃哪一類的餐館之后，就能通過之后的智能騷擾電話來實現(xiàn)精準(zhǔn)營銷。

 

 

在享受來自大數(shù)據(jù)的福利之后，自然也要吞下大數(shù)據(jù)導(dǎo)致的惡果。不過，在對抗WiFi探針這樣基于技術(shù)缺陷的信息獲取方式上，我們也并非毫無還手之力，至少手機廠商是很不希望有外人拿到手機MAC地址的。

目前來說，在移動設(shè)備上，無論是iOS、Android還是微軟的Windows 10，都已經(jīng)擁有了對抗WiFi探針的技術(shù)——隨機MAC地址。蘋果早在2014年的iOS 8上就推出了這項技術(shù)，而Android則因為在Android 5.0使用隨機MAC導(dǎo)致系統(tǒng)BUG，而直到去年的Android P上才正式開放了這項技術(shù)。

 

 

隨機MAC地址的工作原理，是創(chuàng)建一個經(jīng)過256位加密的有規(guī)律的偽隨機MAC地址數(shù)列，當(dāng)手機掃描附近AP的時候就循環(huán)使用該數(shù)列。因此，想要避免自己的手機在公共場所，在不知不覺直接被WiFi探針記錄，各位其實升級到最新版本的iOS和Android就能夠有效防止。