BluetoothのMACアドレスランダム化に対する攻撃の論文。

https://dl.acm.org/doi/10.1145/3744559

• ペアリング後のBluetoothペリフェラル(イヤホンなど)は、ペアリングしたセントラル(携帯電話など)からのスキャンリクエストにのみ反応する。
• スキャンリクエストは暗号化されていない。
• MACアドレスが変化するタイミングは機器ごとに異なる。

未知のMACアドレスからのスキャンリクエストに対して、既知のMACアドレスを持つペリフェラルが反応した場合、リクエスト元はそのペリフェラルとペアリングしていたセントラルであることがわかる(パッシブ攻撃)。

さらに、多くの機器では以前に使われていたMACアドレスにも反応する。そのため、リクエスト元アドレスを変えたスキャンリクエストをペリフェラルに2つ送ることで、その2つが同じセントラルのアドレスかどうかがわかる(アクティブ攻撃)。

一方、多くのセントラルはペアリングしたデバイスが範囲内に入るとすぐに接続しようとする。 そのため、セントラルとペリフェラルが同時にアドレスを変えた場合でも、古いペリフェラルのアドレスを装ってアドバタイジングパケットを送ることで以前と同じセントラルかどうかがわかる(アクティブ攻撃その2)。

• セントラルとペリフェラルで同時にアドレスを変える(アドバタイズを送る/受け取るタイミングで変える)。
• 変える間隔をランダムにする。
• 時刻の値を元にMACアドレスを変え、現在時刻から離れているものは拒否する。そのために、ペアリング時にセントラルの時計の時刻をペリフェラルに送る。