为什么 MAC 地址被用于追踪

MAC 地址(媒体访问控制地址)是分配给网络接口的 48 位物理地址。这个标识符在设备每次连接 Wi-Fi 时都会被传输,作为与设备硬件绑定的半永久性标识符,与 IP 地址不同。

安装在购物中心、机场和火车站的 Wi-Fi 接入点可以从附近设备发出的 Wi-Fi 探测请求中收集 MAC 地址,无论这些设备是否实际连接。这种机制使得位置追踪能够在您不知情的情况下悄然记录您的移动模式。

Wi-Fi 探测请求的工作原理

当 Wi-Fi 开启时,智能手机和笔记本电脑会不断发送探测请求。这些是搜索可用接入点的广播帧,包含以下信息:

  • 源 MAC 地址
  • 之前连接过的网络的 SSID(首选网络列表)
  • 设备支持的通信标准和速度

问题在于这些探测请求是以未加密方式传输的。在数十米范围内的任何接收器都可以拦截和记录 MAC 地址。即使您没有连接 Wi-Fi,仅仅开启 Wi-Fi 就会使您成为追踪目标。

探测请求揭示了什么

仅通过 MAC 地址收集就可以估算以下信息:

  • 特定设备的停留时间和访问频率(同一 MAC 地址出现的模式)
  • 移动路径(在多个传感器位置检测到同一 MAC 地址)
  • 设备制造商(MAC 地址的高 24 位作为 OUI 在 IEEE 注册)
  • 之前连接过的 Wi-Fi 网络名称(SSID 泄漏)

商业设施中 MAC 地址追踪的现实

在零售行业,使用 MAC 地址进行客流分析已经非常普遍。安装在店铺中的 Wi-Fi 传感器收集购物者智能手机的 MAC 地址,生成以下数据:

  • 实时访客数量
  • 店内客流分析(购物者在每个区域停留的时间)
  • 回访率测量(同一 MAC 地址的回访频率)
  • 与附近竞争店铺的访客重叠分析

这类分析由 Euclid Analytics、RetailNext 和 ShopperTrak 等公司作为服务提供,被大型零售连锁广泛采用。在大多数情况下,购物者并不知道这种追踪正在进行。

公共空间中的追踪

MAC 地址收集不仅限于商业设施。它还发生在机场、火车站、活动场馆,甚至安装在街道上的智慧城市传感器中。伦敦地铁自 2016 年以来一直使用 Wi-Fi 追踪进行乘客移动模式分析。

MAC 地址随机化 - 操作系统级别的对策及其局限性

Apple(iOS 14+)、Google(Android 10+)和 Microsoft(Windows 10+)已实现了在 Wi-Fi 探测请求中随机化 MAC 地址的功能。这减少了设备实际 MAC 地址的直接暴露。

随机化方式

  • iOS:为每个网络生成唯一的随机 MAC 地址,并对同一网络始终使用相同的随机地址(按网络随机化)
  • Android:自 Android 10 起默认启用。除了按网络随机化外,Android 12+ 还在未连接时随机化探测请求
  • Windows:可以配置按网络的随机 MAC 地址(可能需要手动激活)

随机化的局限性

MAC 地址随机化并非万能药。追踪仍然可以通过以下途径成功:

  • 连接后固定 MAC:大多数操作系统在连接到网络后会继续使用相同的随机 MAC 地址。在该网络内追踪仍然可行
  • 探测请求中的信息熵:研究表明,结合 MAC 地址以外的信息(支持的标准、帧序列号、信息元素的顺序),可以高精度地重新识别使用随机 MAC 地址的设备
  • SSID 泄漏:某些设备在探测请求中包含之前连接过的 SSID。如果包含唯一的 SSID(如您家的 Wi-Fi 名称),即使 MAC 地址改变也可以识别个人
  • 蓝牙关联:如果蓝牙 MAC 地址未随机化,同时观察 Wi-Fi 和蓝牙可以识别实际设备

实用防护措施

基本措施

  • 不使用时关闭 Wi-Fi 和蓝牙。这是最可靠的对策
  • 验证操作系统的 MAC 地址随机化已启用(iOS:设置 → Wi-Fi → 网络 → 私有 Wi-Fi 地址;Android:设置 → 网络 → Wi-Fi → 随机 MAC)
  • 删除不必要的已保存 Wi-Fi 网络连接以防止 SSID 泄漏
  • 禁用自动连接公共 Wi-Fi

进阶措施

  • 使用 VPN 保护您的流量内容不被所连接的网络获取
  • 结合浏览器指纹对策实现多层追踪防护
  • 使用法拉第袋(信号屏蔽套)物理阻断无线电发射和接收
  • 使用注重隐私的操作系统(如 GrapheneOS)。GrapheneOS 具有按连接随机化 MAC 地址的功能

检查您的状态

IP 确认上查看您当前的连接信息,了解公共 Wi-Fi 的风险,并采取适当措施。由于 MAC 地址追踪与 IP 地址追踪在不同层面运作,因此将其与广告追踪防护相结合进行多层防御非常重要。

监管环境

各地区对 MAC 地址收集的监管差异很大。

  • 欧盟(GDPR):主流解释认为 MAC 地址构成个人数据。收集需要法律依据(同意或合法利益)
  • 日本(个人信息保护法):单独的 MAC 地址可能不构成个人信息,但如果可以轻松与其他信息交叉引用以识别个人,则可能符合条件。2022 年修正案引入了"个人关联信息"的概念,要求在向第三方提供 Cookie 和设备标识符时获得同意
  • 美国:没有全面的联邦法规,但加利福尼亚州的 CCPA/CPRA 将设备标识符纳入个人信息范畴

无论法规如何,意识到管理设备发出的信息都很重要。

总结

MAC 地址是在与 IP 地址不同层面运作的物理标识符。仅仅携带一台开启了 Wi-Fi 的设备,您的移动模式就可能被商业设施和公共空间中的传感器记录。

操作系统级别的 MAC 地址随机化是一项重要进步,但并非完整的防御。需要结合不使用时关闭 Wi-Fi 和蓝牙、清理已保存的网络以及使用 VPN 的多层保护。首先在 IP 确认上查看您的网络信息,了解您的数字足迹实际上有多可见。

相关术语

MAC 地址 分配给网络接口的 48 位物理地址。在设备制造时设定,用于局域网内的通信。 IP 地址 用于在互联网上标识设备的数字地址。分为 IPv4 和 IPv6 两种类型,用于指定通信端点。 VPN(虚拟专用网络) 一种加密互联网流量并通过另一位置的服务器路由的技术,保护您的真实 IP 地址和通信内容。 浏览器指纹 一种无需 Cookie 即可通过组合浏览器属性(如设置、插件、字体和屏幕分辨率)来唯一识别用户的技术。 Wi-Fi 基于 IEEE 802.11 标准的无线局域网技术。使用无线电波将设备连接到网络,无需线缆即可提供互联网访问。