MAC-cím eszközkövetés
A LevelBlue jelentése szerint a MAC-cím randomizáció önmagában nem feltétlenül akadályozza meg a passzív eszközkövetést. A kutatás lényege, hogy még ha egy Wi-Fi, Bluetooth vagy különösen BLE-eszköz időnként új, véletlenszerű MAC-címet is kap, a rádiófrekvenciás jelerősség és az időbeli mintázat alapján a régi és az új azonosító nagy valószínűséggel összekapcsolható. A szerző ezt BLE-környezetben demonstrálta, és azt találta, hogy a címcsere pillanatában az eltűnő és a röviddel utána megjelenő eszköz RSSI-értéke nagyon hasonló, ezért a két MAC-cím ugyanahhoz a fizikai eszközhöz köthető.
Az alkalmazott támadás teljesen passzív. Nincs szükség csatlakozásra, GATT-lekérdezésre vagy aktív interakcióra; elég folyamatosan figyelni a levegőben terjedő BLE-forgalmat, naplózni az időbélyeget, a MAC-címet és az RSSI-t, majd ezekből korrelációt számolni. A logika azon alapul, hogy egy valódi eszköz normál esetben nem tűnik el a semmibe, hanem a jelszint fokozatosan változik. Ha viszont egy MAC-cím hirtelen megszűnik, és szinte azonnal megjelenik egy új MAC-cím közel azonos jelerősséggel, az erős indikátora annak, hogy ugyanarról az eszközről van szó, csak címrotáció történt.
