真正的苹果蓝牙耳机（一副蓝牙耳机就能被跟踪）

“被跟踪”这种待遇，自古以来，试问哪路豪杰不怕。

按传统的剧情发展，一旦主角在身上、 包里、汽车后备箱中找到一枚跟踪器，不出三分钟，一大波杀手就会从天而降。

虽然现实中不会上演这种桥段，但倘若你在搜索引擎中输入“感觉手机被定位跟踪了”，包你能迅速脑补出一部悬疑大片，甚至还有超强的代入感：完蛋，我好像也被跟踪了…

那些能定位的设备都长啥样呢？这个嘛，没亲眼见过我也不能乱说，但我知道，有人把蓝牙耳机“策反”成了跟踪神器。

我猜你可能不信：蓝牙耳机那么小一只，既没有 GPS，也不能联网，你告诉我这咋定位！

要是搁一个月前，我也不信，但今年的极棒大赛，就硬生生把“蓝牙耳机变身跟踪器”这令人一紧的剧情，搬到了我的眼前。

“我们已经发现这个耳机。”

“攻击完成。”

“定位完成。”“恭喜，挑战成功！”

以上这一幕，发生在今年的极棒大赛。

极棒大赛，浅黑的老朋友们应该都很熟悉。

作为全球三大安全极客赛事之一，极棒最大的魅力就在于，既能让普通人窥见数字世界的危险，比如让特斯拉撞墙、AI 模仿人类笔迹，指纹残迹解锁手机等，还能打破“黑客都是黑袍墨镜”的刻板印象，一览他们的性感和可爱。

不过，今年的极棒变了。

极棒把往年要购票入场才能观赏的极客破解秀，做成一档综艺节目《我是极客》搬上了荧幕。

主持人，是风趣幽默的蒋昌建；四位嘉宾，不仅有大牛蛙和 TK 教主，还有《最强大脑》“鬼才之眼”王昱珩，以及“九球天后”潘晓婷。

一个个看似不可能的挑战，引得嘉宾连连惊呼

挑战项目延续了极棒一贯的真实场景，比如装满真假摄像头的房间如何找到偷拍者？一副眼镜就能让帅气小哥 4 秒变身安妮·海瑟薇？关乎生命的胰岛素控制器居然能被人远程调整注射量？神速入侵保险箱与加密硬盘竟如入无人之地？

20 支团队逐一登台挑战，挑战成功的队伍，交由评审团综合多个维度进行评分。

进入排行榜前十的团队，会在 1024 极棒之夜展开终极对决。

“蓝牙耳机变身跟踪器”，就是其中一个令人大呼不可能的挑战项目。这支挑战团队叫做“追踪信标”，由玄武实验室的三位技术研究员林修乐、黎烨和戴戈组成。

关于这个挑战，从节目介绍中能获取的信息非常有限，只提到这是“一种利用未知缺陷改造蓝牙耳机实现远程定位的挑战”。

挑战规则是，选手采用无接触方式，现场改造由主办方提供的一副蓝牙耳机。随后，主办方佩戴蓝牙耳机乘车前往目标地点，而选手需要利用植入的代码，远程定位主办方的所在位置。限时 30 分钟。

当蒋昌建老师的手拍下计时器，一场看似不可能的挑战开始了。

三位选手站在舞台一侧的挑战位上，另一侧摆放着一张小黑桌，评委将早已准备好的一副蓝牙耳机摆在上面，并把耳机从充电舱中取出，放在桌面之上。

此刻，耳机处于开机待连接状态。

另一边，选手飞快地敲起了键盘，没过几分钟，他们就发现并连接到设备。

就在所有人都以为进展顺利的时候，选手突然举手示意裁判，表示摆放耳机的桌子有些远，超出了蓝牙的通信距离，请求将耳机稍微挪近一些。

得到评审团同意后，裁判将桌子挪近了一米左右，选手立马又埋头敲起了键盘。

没一会儿，选手表示刷机完成，可以进入验证环节。

这时，外场裁判上场，将桌上的耳机塞进耳朵，转身走出录制大厅，上了一辆车。

车辆不停地直行拐弯，五分钟后，外场裁判下车，开始与现场连线，表示已经达到目标地点，选手可以开始定位。

场内，选手的定位结果也已出炉：地图显示，外场裁判正位于杭州市明珠实验学校。

镜头一切，外场裁判揭晓答案：我现在的位置，是杭州市明珠实验学校。

看到这一幕，现场掌声响了起来，可场内裁判举起话筒，冷静吐出三个字：但是呢...

这半句话像干冰气体一样，令场面瞬间冷却，所有人的目光都转向裁判。

裁判接着说：我注意到，这里是有一点瑕疵。

原来，选手电脑屏幕上的地图右侧，出现了一个“幽灵坐标点”，它所在的位置，并不在外场裁判的行驶轨迹中。

虽然有瑕疵，但定位没问题，蒋昌建宣布挑战成功。

经过评审团现场讨论后，TK 教主最终给出了 5.86 分，暂列排行榜第三名。

他们的挑战成功了，我看着面前的蓝牙耳机，瞬间觉得它不香了：它该不会也是个白眼狼吧？

蓝牙耳机既没有 GPS，又不能联网，怎么就能把主人的位置泄漏给第三者呢？

得知“追踪信标”团队要在 1024 级棒之夜参加踢馆赛，我赶忙飞往上海，找到队员之一林修乐，听他讲述了“蓝牙耳机变身跟踪器”背后的秘密。

2、“果园”里的不速之客

“是苹果给了我灵感。”

林修乐所说的苹果，具体一点，是 2021 年 4 月 21 日苹果举办的春季新品发布会。

更具体一点，其实是 AirTag。

那天，苹果发布了一款已经被曝光了几年的新产品：AirTag。还不忘给它配上一句直击痛点的文案：丢三落四这门绝技，要失传了。

只有硬币大小的 AirTag，其实是一款蓝牙跟踪器，主要作用是防丢。

你可以把它挂在钱包、钥匙上，也可以把它放在车里，当你急用又找不到时，打开手机，就会查找到它的位置。

看起来，丢三落四的病终于有解药了。虽然有点贵，小小一个要 200 。

林修乐虽然没这病，但他对背后的“药理”很感兴趣：AirTag 到底是怎么实现精准定位的？

发布会一结束，他就开始探索这背后的奥妙。别说，他还真找到了不少资料，细究之后，更觉有趣。

AirTag 的特别之处在于，它本身没有联网功能，却将全球的 iPhone 变成了一个个蓝牙基站，无缝接入苹果的 Find My 网络，实现物品的跟踪定位。

这背后的关键，是一种叫做“众包定位”的技术。

假设你是个经常找不到钥匙的人，痛定思痛，入手了一个 AirTag。

开箱后，刚靠近 iPhone，嗖地一下，它就和你的手机完成配对，成为 Find My 软件设备列表中的一员 。

注意，就是这个极短的“嗖地一下”，AirTag 和 Find My 软件之间，就商量好了一套暗号，也就是密钥对。

当然，你不会有丝毫察觉。

随后，你把 AirTag 挂在了易丢的钥匙上，松了一口气。

第二天，逛超市回来的你，走到家门口才发现钥匙不见了，于是你打开手机，想要知道钥匙去哪儿了。

在你开始查找这个动作时，AirTag 内置的蓝牙信标 (beacon) 登场了。

beacon 是建立在低功耗蓝牙协议基础上的一种广播协议，当你在手机上试图定位钥匙时，AirTags 中的 beacon 会不停开始广播，里面就藏着配对时与 Find My 软件约定好的密钥，借此向四周发出信号：我在这里，快来救我啊。

此时，AirTags 附近的苹果设备 (比如街上行人的 iPhone、iPad 等) 听到这个广播后，立刻就会意识到：哦，天呐，这里有个小可怜找不到家了，我得帮帮它。

于是，这些设备会把广播中的密钥，附上自身的定位数据，将它们一齐打包，上传到苹果服务器。

而你手机上的 Find My 软件，通过密钥识别出服务器上那些与自己寻找设备有关的定位报告后，就会解析出定位数据，通知你去寻回。

这就是 AirTag 定位的实现过程。

得益于苹果庞大的全球用户量，只要不是无人之境，你就可以找到网络覆盖下的任意 AirTag。

这是一个由善意搭建起的公益互助寻物网络，践行了“只要人人都献出一点蓝牙，世界将变成没有遗失悲剧的美好人间”。

可唱着唱着，林修乐感觉哪里不太对。

当他进一步了解到，这个公益互助寻物网络的申请机制非常脆弱，苹果没有任何类型的健全性审查后，脑海里浮现出一个想法：一个毫无定位能力的非苹果蓝牙设备，通过改造，是不是就能利用这个网络实现定位？

例如越来越受欢迎的蓝牙耳机？

一番思路梳理，林修乐有了一条完整的攻击思路。

首先，搞出一段攻击代码，由于蓝牙耳机内存有限，所以代码不能太长，通过代码注入，将蓝牙耳机改造成一个伪 AirTag；

接着，让蓝牙耳机混入苹果的大型公益互助寻物网络，假装自己是个正经的苹果 (或经过苹果认证) 设备；

最后，操控蓝牙耳机发出求救广播，利用周边苹果设备的定位信息上报，实现设备定位。

在脑海里推演了好几遍，每一遍都无比成功，但平日里的研究经验提醒他：光想没有用，快去实践。

于是，他动手改造了一个树莓派，成功复现了上面的攻击思路。

细思，恐极。

数日后，极棒大赛启动了今年的项目申请，林修乐拉着黎烨和戴戈，申报了这个项目：“蓝牙耳机变身跟踪器”。

与此同时，他们购买了 5 个不同品牌的蓝牙耳机，都在 200 元档位，开始新一轮的攻击研究。

没有哪个厂商愿意把自家产品的固件源码公开，三个人只能另想办法，借助硬件读取出耳机的二进制代码，再加入不到 1K 的自研代码，最后给耳机刷机，测试定位功能。

整个过程非常艰难，就像摸黑进入一栋别墅，里面的一切对你而言都是陌生的，直走可能会被楼梯绊倒，左拐可能会被壁橱撞头，只能硬着头皮一点一点摸索，找到那个可被利用的缺口，再装上自己带来的远程遥控器。

由于时间有限，三人只攻击了两款设备，就已经临近比赛录制了，虽然当下的成功率是 100%。

但是，在比赛结束之前，你永远不知道会掉到什么坑里。

比如《我是极客》的录制时间是 9 月初，三人提前飞去杭州做准备。做了求稳，他们又下单了几款设备，都是之前已经攻击成功的品牌和型号，全当赛前热身。

可这一试，怪了，有个品牌的耳机怎么攻击都不成功。三人一拆才发现，芯片和之前不一样了。

也就是说，同一品牌、同一型号、不同批次的耳机，使用的芯片有可能是不一样的。这不是坑爹么。。。

你以为这就够糟了？不，更糟的是，他们轻装来杭州录节目，把所有的测试设备都留在了实验室，想从头测试都没办法。

最后，他们决定赌一把，以之前攻击成功的那套固件代码为基础，尝试把缺失的代码补编进去，让它能适应新的芯片，再进行刷机。

不成功便成砖，起码 50% 胜算。

测试间隙，林修乐瞒着队友，悄悄溜到隔壁房间，准备了一段淘汰感言，据说现在都兴这个，以免场面尴尬。

一番紧张的编码和调试，三人把旧固件改成能适应新版芯片的样式刷进去，紧张的等待，没想到竟然成功了，精心准备的淘汰感言也成了幕后花絮。

再比如，比赛一开始，他们刚连上蓝牙耳机，没过几秒钟，就被录制现场过多的干扰给挤掉了，怎么都连接不上，只能申请把蓝牙耳机挪的近一点，这才让比赛进行下去，最终进入排行榜前三。

至于初赛中飘出去的那个“幽灵坐标点”，林修乐解释说，很大原因是信号问题造成的，他们在赛前预备阶段也遇到过。

在室内建筑物附近，受遮挡影响，GPS 和网络信号都可能变弱，有时会出现手机把自己的位置定的离实际位置很远，这时候再遇上手机信号不好，没能第一时间上报位置，等信号恢复正常可以报点时，手机可能已经离最初发现设备的位置很远，最终导致“幽灵坐标点”出现。

如果周围有几个同位置的点，突然有一个飘很远，很容易就可以把它排除掉，只不过从演示效果来看，确实不完美。

搞安全的人，时常会处于一种矛盾之中：明知道没有绝对安全的系统，却还是希望自己的研究方案可以趋近完美。

面对极棒之夜的踢馆赛，林修乐和队友们决定以距离为突破口：借助无线电通信，将初赛距离耳机不足十米的距离，增长到 50 米，并完成挑战。

在现场数百位观众的围观见证下，踢馆项目“蓝牙耳机变身跟踪器”50 米距离挑战成功。

但观众们不知道的是，他们线下实测的攻击距离已经可以达到 200 米。

3、是在贩卖焦虑吗？

今年的极棒，因为《我是极客》节目的播出，成功出圈了。

赛后，“戴蓝牙耳机可能被定位跟踪”一度登上微博热搜前三，在视频弹幕、微博评论，以及极棒之夜现场，三种声音最多：

1、“蓝牙耳机这么不安全，是不是不能用了？”

2、“遇到干扰就可能挑战失败，这在现实中根本没有可操作性，这种研究根本没有意义。”

3、“网络安全行业也开始贩卖焦虑了？”

以上言论中，存在两个不易察觉的误区：

首先，并不是在极棒舞台上被破解的产品或系统，就是不安全的。

网络安全行业发展到今天，黑客们都在卯着劲儿提高自己的水平，没人会想把一个满是漏洞的产品搬到安全大赛上来展示。

有使用场景，才有攻击的价值；越是贴近大众的产品和技术，才越有人想要破解，因为这些场景一旦失防，立刻就会泛滥成灾。

一个小小的蓝牙耳机，在被发现可以定位之前，很少有人愿意去攻击它。攻击它没用，难道趁你不注意，给你来段死亡摇滚？

可现在，蓝牙耳机可以被用来定位，说不定哪一天，你就会看到相关的新闻。

极客把这个项目展示出来，一是给厂商提个醒，之前不重视蓝牙安全没事，因为没有攻击场景，可现在有了，需要注意；二是给用户提个醒，购买耳机多考虑一下厂商的技术水平，山寨耳机最好还是别考虑了。

要想不被老虎吃掉，你只需要跑赢其他人，就足够了。

其次，并不是针对传统应用场景的攻击，就没有意义。

蓝牙耳机就是一个非常传统的应用场景，但在这个攻击中，蓝牙耳机可以换成任何一种蓝牙设备，比如蓝牙打印机、蓝牙温度计。

假设有一个保密机构，办公室里的蓝牙打印机被远程攻击了，对方一旦成功定位，那么，保密机构的精准地理位置就会被泄露，这将是一个非常可怕的攻击场景。

再换个角度来看，“蓝牙耳机变身跟踪器”项目中利用的 AirTag，是苹果今年才发布的新产品，可它的技术思路却能轻松应用于攻破蓝牙耳机这样一个传统场景，这意味着，传统产品看似捱过了风吹浪打，已坚不可摧、无漏洞可用，可事实绝非如此。

一根尖刺，可能就破防了。

---

文 | 木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→浅黑科技。

,