Bluetooth डिवाइस आपकी कौन-कौन सी जानकारी उजागर करते हैं
(blog.dmcc.io)- आसपास के Bluetooth signals इकट्ठा करके उपयोगकर्ता द्वारा अनजाने में उजागर की जाने वाली जानकारी को विज़ुअलाइज़ करने वाला Python-आधारित scanner Bluehood बनाया गया और सार्वजनिक किया गया
- सिर्फ Bluetooth ऑन रखने भर से "घर कब खाली रहता है" जैसे जीवन-रूटीन पैटर्न और विज़िट हिस्ट्री ट्रैक की जा सकती है
- कुछ medical devices, vehicles, smartwatches ऐसे हैं जिनमें उपयोगकर्ता Bluetooth बंद नहीं कर सकता, इसलिए वे लगातार signal प्रसारित करते रहते हैं
- Briar, BitChat जैसे privacy-केंद्रित apps भी Bluetooth activation की मांग करते हैं, जिससे security और exposure का विरोधाभास पैदा होता है
- रोज़मर्रा के डिवाइस से रिसने वाले digital traces की पहचान और उन पर नियंत्रण की आवश्यकता पर ज़ोर
Bluehood प्रोजेक्ट का अवलोकन
- Bluehood एक Bluetooth scanner है, जिसे यह परखने के लिए बनाया गया कि Bluetooth सक्रिय होने पर कौन-सी जानकारी बाहर उजागर होती है
- आसपास के डिवाइस पहचानता है और आने-जाने के पैटर्न का विश्लेषण करता है
- AI की मदद से विकसित किया गया, और इसका उद्देश्य निजी जानकारी के उजागर होने की वास्तविक स्थिति को समझना है
- KU Leuven शोधकर्ताओं की WhisperPair vulnerability (CVE-2025-36911) के सार्वजनिक होने के तुरंत बाद इसे विकसित किया गया
- यह खामी सैकड़ों मिलियन audio devices को remotely hijack करने या उनकी location track करने की अनुमति दे सकती है
- इसे इस उदाहरण के रूप में उद्धृत किया गया है कि Bluetooth signals कभी भी पूरी तरह harmless नहीं होते
Bluetooth से रोज़मर्रा का खुलासा
- smartphones, laptops, vehicles, medical devices आदि लगभग हमेशा Bluetooth ऑन रखकर मौजूद रहते हैं
- “अगर छिपाने को कुछ नहीं, तो डरने की भी ज़रूरत नहीं” जैसी सोच आम हो चुकी है
- लेकिन सिर्फ इसे ऑन रखने से भी अनचाहा information exposure हो सकता है
- उदाहरण के तौर पर, Bluehood को manual mode में चलाने पर यह चीज़ें पता चलीं
- delivery vehicle कब पहुँचा और क्या वही courier था
- पड़ोसी की दैनिक दिनचर्या के पैटर्न
- साथ में दिखाई देने वाले डिवाइस combinations (जैसे phone और smartwatch)
- किसी खास व्यक्ति के आने-जाने के समय
- यह पता लगाना सिर्फ Raspberry Pi या साधारण laptop से भी संभव है
- उदाहरण के तौर पर, Bluehood को manual mode में चलाने पर यह चीज़ें पता चलीं
ऐसे डिवाइस जिन पर उपयोगकर्ता का नियंत्रण नहीं
- कुछ डिवाइस ऐसे हैं जिनमें Bluetooth को उपयोगकर्ता बंद ही नहीं कर सकता
- hearing aids remote control और diagnostics के लिए BLE का उपयोग करते हैं
- pacemakers जैसे medical implants भी BLE signals प्रसारित करते हैं
- vehicles और transport systems vehicle management और diagnostics के लिए Bluetooth लगातार broadcast करते रहते हैं
- smartwatches, pet GPS collars, fitness equipment आदि भी Bluetooth के बिना काम नहीं कर सकते
privacy tools का विरोधाभास
- Briar इंटरनेट कट जाने पर भी Bluetooth·Wi-Fi mesh network से messages sync करता है
- यह central server के बिना activists और journalists की communication में मदद करता है
- BitChat पूरी तरह Bluetooth mesh network पर आधारित एक distributed messenger है
- यह internet, server, phone number के बिना multi-hop के जरिए messages पहुँचाता है
- दोनों apps का उद्देश्य privacy protection है, लेकिन इनके इस्तेमाल के लिए Bluetooth सक्रिय होना ज़रूरी है
- नतीजतन जो सुरक्षा का साधन है, वही exposure का रास्ता भी बन जाता है
metadata क्या उजागर करता है
- Bluetooth signal के सिर्फ पैटर्न से भी किसी व्यक्ति के व्यवहार को ट्रैक किया जा सकता है
- उदाहरण के लिए, किसी क्षेत्र में कई हफ्तों तक scan करने पर यह पता चल सकता है
- घर कब खाली रहता है
- क्या कोई नियमित आगंतुक आता है
- work shift के पैटर्न
- बच्चों के घर लौटने का समय
- उसी delivery person के आने की आवृत्ति
- उदाहरण के लिए, किसी क्षेत्र में कई हफ्तों तक scan करने पर यह पता चल सकता है
- logs के ज़रिए किसी खास समय पर आसपास मौजूद डिवाइसों को उल्टा खोजा जा सकता है
- उदाहरण: टहलते हुए व्यक्ति की smartwatch, वाहन का tracking device आदि
- यह दिखाता है कि रोज़मर्रा के digital traces कितनी आसानी से इकट्ठे किए जा सकते हैं
Bluehood की विशेषताएँ
- यह एक Python application है, जिसे Bluetooth adapter वाले किसी भी डिवाइस पर चलाया जा सकता है
- continuous scan के जरिए आसपास के डिवाइस पहचानता है और manufacturer·BLE service UUID की पहचान करता है
- pattern analysis से time-based heatmap, dwell time और संबंधित डिवाइस पहचानता है
- random MAC address filtering के जरिए आधुनिक डिवाइसों की privacy features को ध्यान में रखता है
- web dashboard के जरिए real-time monitoring सपोर्ट करता है
- डेटा SQLite में store होता है, और ntfy.sh के जरिए push notifications मिलती हैं
- Docker या manual install दोनों संभव हैं, और इसे root privileges या systemd service के रूप में चलाया जा सकता है
प्रोजेक्ट का उद्देश्य
- Bluehood hacking tool नहीं, बल्कि educational demonstration tool है
- यह दिखाता है कि सामान्य hardware से भी निजी जानकारी कितनी आसानी से उजागर हो सकती है
- सिर्फ सुविधा के लिए भी wireless radio activation की कीमत को समझना चाहिए
- कब Bluetooth ज़रूरी है और कब वह सिर्फ सुविधा है, यह अलग करके सोच-समझकर उपयोग का निर्णय लेने की ज़रूरत है
- अगर उपयोगकर्ता Bluehood के जरिए अपनी Bluetooth आदतों पर दोबारा विचार करे, तो प्रोजेक्ट का उद्देश्य पूरा हो जाता है
- BlueHood source code GitHub पर उपलब्ध है
1 टिप्पणियां
Hacker News की राय
ऐसा लगता है कि अब हम Bluetooth का हमेशा ऑन रहना बहुत सामान्य मानने लगे हैं
फ़ोन, लैपटॉप, स्मार्टवॉच, कार, यहाँ तक कि मेडिकल डिवाइस भी लगातार सिग्नल प्रसारित कर रहे हैं
एक दोस्त ने देहात के अपने फ़ार्म पर राउटर लॉग दिखाया था, जिसमें “Audi”, “BMW”, “Tesla” जैसे नाम वाले ढेर सारे Wi-Fi AP दिखाई दे रहे थे
ऐसे डेटा से अगर कोई यह de-anonymize कर दे कि कौन कब गुज़रा, तो उसे आसानी से ट्रैक किया जा सकता है
सुना है कि मॉल भी ऐसे Wi-Fi/Bluetooth सिग्नलों से ग्राहकों की आवाजाही का रास्ता ट्रैक करते हैं
खोजने पर ज़्यादातर चीज़ें कॉर्पोरेट प्रचार जैसी लगीं, लेकिन Michigan State University के Meijer project जैसा एक उदाहरण मिला
हालाँकि गुमनाम आँकड़ों के स्तर पर डेटा इकट्ठा किया जा सकता है
teslaradar.com जैसी साइटों पर भी इसे देखा जा सकता था
Musk ने इसे “नंबर प्लेट भी ट्रैक की जा सकती है, तो इसमें दिक्कत क्या है” जैसी बात कहकर टाल दिया था
EU में ऐसी ट्रैकिंग अवैध है
रिसीविंग उपकरण भी सस्ते हैं, इसलिए कोई भी वाहन की पहचान कर सकता है
Apple डिवाइसों के डिफ़ॉल्ट नाम भी “Jack’s iPhone” जैसे होते हैं, इसलिए किसी व्यक्ति की पहचान करना बहुत आसान है
तब एहसास हुआ कि कंपनियाँ डिफ़ॉल्ट सेटिंग्स से उपयोगकर्ताओं की सुरक्षा नहीं करतीं
मैंने 2 साल पहले से Bluetooth केवल ज़रूरत होने पर ही चालू करने की आदत बना ली है
Apple की “Find My” और Google की “Find Hub” सेवाओं के आने के बाद बैटरी खपत साफ़ तौर पर बढ़ गई थी
पूरी तरह opt-out करने का कोई तरीका नहीं है, इसलिए बैटरी बचाने के लिए आख़िरकार BT बंद रखना ही पड़ता है
यह देखकर हैरानी होती है कि कितने लोग सुरक्षा और प्राइवेसी को लेकर इतने बेपरवाह हैं
Washington DC, Maryland, Virginia और Delaware क्षेत्रों में पहले से ही Bluetooth और EZ-Pass सिग्नलों से ट्रैफ़िक ट्रैक किया जा रहा है
किसी खास ID के पकड़े जाने के बीच के अंतर से वाहन की गति निकाली जाती है, और ट्रैफ़िक फ़्लो बेहतर करने के लिए सिग्नल टाइमिंग समायोजित की जाती है
मोबाइल फ़ोन के शुरुआती दिनों में, मेट्रो में आसपास के Bluetooth डिवाइस नाम देखकर लोगों का अंदाज़ा लगाने का खेल खेला करते थे
उस समय लोग डिवाइस के नाम बड़े अलग ढंग से रखते थे
शुक्र है, उस नाम के बावजूद मेरी नौकरी लग गई
AI से लिखे गए ब्लॉग पोस्ट शायद तब तक चलते रहेंगे जब तक ठगी की कमाई बंद नहीं हो जाती
Bluetooth ट्रैकिंग दृश्य निगरानी की तुलना में कहीं ज़्यादा गुप्त और सस्ता निगरानी साधन है
कैमरे दिख जाते हैं, लेकिन BT रिसीवर को पूरी तरह छिपाया जा सकता है
यह Bluetooth और Wi-Fi metadata इकट्ठा करेगा, और शायद वीडियो को MAC address से मैच भी किया जा सके
अभी के लिए इसे सिर्फ़ पार्सल डिटेक्शन के लिए इस्तेमाल करने का इरादा है
यह चौंकाने वाला है कि घर से डिलीवरी ड्राइवर की आवाजाही का पैटर्न Bluetooth से पहचाना जा सकता है
एक साधारण Raspberry Pi से भी फ़ोन और वॉच की pairing को ट्रैक करके मूवमेंट प्रोफ़ाइल बनाई जा सकती है
अब मन होता है कि जाँच करूँ कि मेरे डिवाइस बेवजह सिग्नल तो नहीं भेज रहे
यूनिक ID से ड्राइवर की पहचान करना भी कोई मुश्किल काम नहीं है
हाल ही में मैं Nordic NRF52840 SoC के साथ BLE antenna tuning की टेस्टिंग कर रहा था
‘nRF Connect’ ऐप से आसपास के डिवाइस स्कैन करते हुए एक अनजान BLE डिवाइस मिला, और बाद में पता चला कि वह मेरे पिता का pacemaker था
इस अनुभव से मुझे पता चला कि मृत्यु के बाद भी pacemaker वहीं रह जाता है,
और मुझे कब्र के भीतर से BLE सिग्नल पकड़े जाने वाले बुरे सपने भी आने लगे
मेरे इलाके का रोड अथॉरिटी भी Bluetooth से वाहन की गति मापता है
किसी खास ID को दो बिंदुओं पर पकड़े जाने के समय की तुलना करके ट्रैफ़िक फ़्लो को रीयल-टाइम में समझा जाता है
Bluetooth MAC address randomization की सख्त ज़रूरत है
Wi-Fi में यह पहले से समर्थित है, लेकिन ज़्यादातर लोग अब भी स्थिर BT identifiers प्रसारित कर रहे हैं
यह समय-समय पर address बदलती है, लेकिन rotation के समय को ट्रैक करके फिर भी उसी डिवाइस का अनुमान लगाया जा सकता है
iPhone और Apple Watch जैसे डिवाइसों की पहचान pattern analysis से भी की जा सकती है
इसे पूरी तरह रोकने के लिए radio fingerprinting जैसे उन्नत उपकरणों की ज़रूरत होगी