第三方机构能获取我的MAC地址吗?

有关浏览器指纹识别,我们最常被问到的问题是,我们是否可以隐藏MAC地址?对注重隐私的业务来说,这意味着什么?换一种更直接的说法——网站或第三方机构是否可以获取我的MAC地址?就这一问题,我们展开了调查,一探究竟。

什么是MAC地址?

首先,让我们从这一话题的根本入手,MAC地址到底是什么?

MAC地址是具有唯一性的地址,它被分配给我们的蓝牙、WiFi和以太网卡,直接被在我们的设备中。在本地网络中,它也被各个设备用来进行相互通信。

MAC地址也被称作设备的物理地址。对众多设备来说,MAC地址标明了哪个是哪个。而IP地址则表示,设备在不计其数的网络链中的接入位置。

打个比方,您在办公室叫您同事的姓名——姓名就是他的“MAC地址,表明他就是他。但要联系他,比如给他寄一张卡片,您需要他的电话号码或邮寄地址。这是他的“IP地址,将他连接到一个更广阔的网络中。

Mac地址是被分配给我们的蓝牙、WiFi和以太网卡的具有唯一性的地址。

和别人有相同MAC地址的几率,比中万元大奖彩票的几率还低。也难怪,我们经常被问,网站是否可以获取MAC地址?如果是,那风险就大了。

您的MAC地址是私密的吗?

让我们回到最初的问题:我们访问的网站能否获取MAC地址?简而言之,答案是:不能。基本不可能。在以前,JavaFlash等技术使其成为可能。然而,这些技术早已过时或被弃用。剩下的方法则带来了回旋的余地。

当然,对完全依赖浏览器隐私的企业来说,这并不意味着MAC地址不是重点。正如我们解释的那样,它为您度量孰轻孰重提供了一条清晰的分析路线。

首先,我们来看看MAC地址如何被获取。

抖音案例

虽然现在没有一站式的方法来获取MAC地址,但通过综合不同的渠道,它还是可以被实现的。您可能或多或少了解或用过抖音(TikTok)。前段时间,新闻报道揭示,抖音收集用户的MAC地址长达15个月。如果您在这15个月中打开了抖音应用,那么抖音就知道您设备的MAC地址,并能通过这一信息了解您使用手机的品牌。

强制网络门户

在购物中心、咖啡店、车站等地,我们被各种联网设备包围。然而,要知道,连接到公共WiFi网络,有其风险。这类连接意味着您共享您的网络适配器的MAC地址。到目前为止,这似乎是无害的——直到您阅读康考迪亚大学(Concordia University)的研究报告。研究显示,一些热点会将MAC地址泄露给众多其它机构。必胜客将您的MAC地址泄露给11个网络域,蒙特利尔Place Montreal Trust购物中心的H&M,将MAC地址泄露给6个网站。那么接受方都有哪些呢?其中包括Alphabet(谷歌)、Facebook和亚马逊。

一些热点,比如必胜客和H&M,将MAC地址泄露给众多第三方。

有些第三方机构设置了持久性的cookie,在某些情况下,有的cookie甚至能持续20年之久!虽然您的手机可能会隐藏或随机提供MAC地址,但我们的电脑或笔记本电脑并不会。在连接时,大多数电脑会使用操作系统的默认浏览器,帮助持久性cookie来建立我们的身份和MAC地址之间的关系。

DNS重新绑定攻击

DNS或域名系统,为我们提供了友好的网站名称,比如google.com,而不是像142.250.180.110这样复杂的IP字符串。

当我们连接到该域名时,在掩护下,我们的设备会询问域名服务器,哪个IP地址被分配给我们浏览的内容(例如google.com)。为了避免重复这一过程,您的设备会将这些信息保存一段时间,由域名指定,称为存活时间(Time To Live)”TTL

在我们讨论的DNS重新绑定这一情境中,TTL被故意设置得很短,这样您的设备就会不断发出请求。同时,您的浏览器执行网站的恶意脚本。当TTL迅速过期时,您的设备会发出另一个请求,作为回应,一个本地IP被返回给您,比如192.168.1.1,这属于你的家庭路由器。

最终,攻击网站可以访问敏感信息,包括连接到路由器的设备名称和这些设备的相关MAC地址。

这是我们需要关心的问题吗?

上述案例说明,是的,您的MAC地址有可能被迂回获取到,有一定的风险。

然而事实上,关键点在于,您的业务最优先考虑的是不是保持隐私MAC地址仍然是我们最常问的问题之一。然而,直接获取MAC地址的方法已经失效了。换句话说,人们关注的是一个越来越不重要的领域,而忽略了其它一些在运行多个账户时,保持浏览器配置文件防水性,即不被追踪的关键问题。

正是那些可以被直接获取的浏览器指纹,才可能会给您的业务带来相当的风险。因此,您需要确保实时更新您的思路,以及您所用的技术工具。要做到这一点,您不妨关注Multilogin,了解行业最前沿动态。