Informasi Anda yang Diungkap Perangkat Bluetooth

 (blog.dmcc.io)
18 poin oleh GN⁺ 2026-02-17 | 1 komentar | Bagikan ke WhatsApp
  • Membuat dan merilis Bluehood, sebuah scanner berbasis Python yang mengumpulkan sinyal Bluetooth di sekitar untuk memvisualisasikan informasi yang tanpa sadar dibocorkan pengguna
  • Hanya dengan membiarkan Bluetooth tetap aktif, pola hidup seperti "jam rumah kosong" dan riwayat kunjungan dapat dilacak
  • Beberapa perangkat medis, kendaraan, dan smartwatch tidak memungkinkan pengguna mematikan Bluetooth, sehingga terus memancarkan sinyal
  • Bahkan aplikasi berfokus privasi seperti Briar dan BitChat tetap memerlukan Bluetooth aktif, sehingga muncul paradoks antara keamanan dan keterpaparan
  • Menekankan perlunya kesadaran dan kontrol atas jejak digital yang bocor dari perangkat sehari-hari

Gambaran umum proyek Bluehood

  • Bluehood adalah scanner Bluetooth yang dibuat untuk menguji informasi apa saja yang terekspos ke luar saat Bluetooth aktif
    • Mendeteksi perangkat di sekitar dan menganalisis pola kemunculan dan menghilang
    • Dikembangkan dengan bantuan AI, dengan tujuan memahami kondisi nyata kebocoran informasi pribadi
  • Dikembangkan segera setelah pengungkapan kerentanan WhisperPair milik tim riset KU Leuven (CVE-2025-36911)
    • Cacat tersebut memungkinkan ratusan juta perangkat audio diambil alih dari jarak jauh atau dilacak lokasinya
    • Disebut sebagai contoh yang menunjukkan bahwa sinyal Bluetooth sama sekali tidak selalu aman

Keterpaparan Bluetooth dalam keseharian

  • Smartphone, laptop, kendaraan, perangkat medis, dan lainnya selalu hadir dalam keadaan Bluetooth aktif
    • Pola pikir “kalau tidak ada yang disembunyikan, tidak ada yang perlu ditakuti” telah menjadi hal umum
  • Namun, hanya dengan membiarkannya aktif saja, kebocoran informasi yang tidak disengaja dapat terjadi
    • Sebagai contoh, saat Bluehood dijalankan dalam mode manual, hal-hal berikut dapat terdeteksi
      • Waktu kedatangan kendaraan kurir dan apakah kurirnya orang yang sama
      • Pola aktivitas harian tetangga
      • Kombinasi perangkat yang muncul bersama (mis. ponsel dan smartwatch)
      • Jam berangkat dan pulang kerja seseorang
    • Deteksi ini dapat dilakukan hanya dengan Raspberry Pi atau laptop biasa

Perangkat yang tidak bisa dikendalikan pengguna

  • Sebagian perangkat memiliki Bluetooth yang tidak bisa dimatikan oleh pengguna
    • Alat bantu dengar menggunakan BLE untuk kendali jarak jauh dan diagnosis
    • Implan medis seperti alat pacu jantung juga memancarkan sinyal BLE
    • Kendaraan dan sarana transportasi terus menyiarkan Bluetooth untuk manajemen dan diagnostik kendaraan
  • Smartwatch, kalung GPS hewan peliharaan, dan peralatan kebugaran juga tidak bisa berfungsi tanpa Bluetooth

Paradoks alat privasi

  • Briar menyinkronkan pesan melalui jaringan mesh Bluetooth dan Wi‑Fi bahkan ketika internet terputus
    • Mendukung komunikasi aktivis dan jurnalis tanpa server pusat
  • BitChat adalah messenger terdistribusi yang sepenuhnya berbasis jaringan mesh Bluetooth
    • Mengirim pesan lewat multi-hop tanpa internet, server, maupun nomor telepon
  • Kedua aplikasi ini sama-sama bertujuan melindungi privasi, tetapi tetap membutuhkan Bluetooth aktif untuk digunakan
    • Akibatnya, muncul kontradiksi ketika sarana perlindungan sekaligus menjadi jalur keterpaparan

Informasi yang diungkap metadata

  • Hanya dari pola sinyal Bluetooth, perilaku individu dapat dilacak
    • Misalnya, dengan memindai area tertentu selama beberapa minggu, hal berikut bisa diketahui
      • Jam rumah kosong
      • Ada atau tidaknya pengunjung rutin
      • Pola pergantian shift kerja
      • Waktu anak pulang ke rumah
      • Frekuensi kunjungan kurir yang sama
  • Melalui log, perangkat yang berada di sekitar pada waktu tertentu dapat ditelusuri kembali
    • Contoh: smartwatch milik orang yang sedang berjalan-jalan, alat pelacak pada kendaraan, dan lain-lain
  • Ini menunjukkan betapa mudahnya jejak digital sehari-hari dikumpulkan

Fitur Bluehood

  • Sebuah aplikasi Python yang dapat dijalankan di perangkat apa pun dengan adaptor Bluetooth
    • Pemindaian berkelanjutan untuk mendeteksi perangkat di sekitar serta mengidentifikasi vendor dan BLE service UUID
    • Analisis pola untuk heatmap per waktu, durasi keberadaan, dan deteksi perangkat yang berkaitan
    • Filter alamat MAC acak untuk menyesuaikan dengan fitur perlindungan privasi pada perangkat modern
    • Mendukung pemantauan real-time melalui dashboard web
  • Data disimpan di SQLite, dan tersedia fitur push notification melalui ntfy.sh
  • Dapat diinstal dengan Docker atau secara manual, lalu dijalankan dengan hak akses root atau sebagai layanan systemd

Tujuan proyek

  • Bluehood adalah alat demonstrasi edukatif, bukan alat peretasan
    • Menunjukkan betapa mudahnya informasi pribadi terekspos bahkan dengan perangkat keras umum
  • Bahkan fitur kenyamanan yang sederhana pun memiliki biaya dari radio nirkabel yang selalu aktif dan hal itu perlu disadari
  • Mendorong keputusan penggunaan yang sadar dengan membedakan kapan Bluetooth benar-benar wajib dan kapan hanya sekadar kenyamanan
  • Jika pengguna meninjau ulang kebiasaan Bluetooth mereka melalui Bluehood, maka tujuan proyek ini tercapai
  • Kode sumber BlueHood tersedia di GitHub

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-17
Komentar Hacker News

  • Kita sepertinya sudah terlalu menganggap Bluetooth yang selalu aktif sebagai hal yang wajar
    Ponsel, laptop, smartwatch, mobil, bahkan perangkat medis terus-menerus memancarkan sinyal
    Di log router di sebuah peternakan pedesaan milik teman, terlihat banyak AP Wi-Fi dengan nama seperti “Audi”, “BMW”, dan “Tesla”
    Dengan data seperti ini, rasanya akan mudah melacak siapa lewat kapan jika berhasil de-anonymize
    Katanya di pusat perbelanjaan pun sinyal Wi-Fi/Bluetooth seperti ini dipakai untuk melacak pergerakan pelanggan

    • Saya sempat penasaran apakah ada riset yang memanfaatkan sinyal ini untuk pencegahan pencurian
      Setelah dicari, kebanyakan cuma materi promosi perusahaan, tapi ada contoh seperti proyek Meijer dari Michigan State University
    • Di UE, pelacakan pribadi seperti ini dilarang tanpa persetujuan eksplisit
      Namun data masih bisa dikumpulkan pada tingkat statistik anonim
    • Pelacakan Bluetooth pada kendaraan Tesla sudah ada sejak 7 tahun lalu
      Ini juga bisa dilihat di situs seperti teslaradar.com
      Musk menepisnya dengan sikap seperti “pelat nomor juga bisa dilacak, jadi apa masalahnya”
      Di UE, pelacakan seperti ini ilegal
    • Sebenarnya TPMS ban mobil juga terus menyiarkan ID unik
      Perangkat penerimanya pun murah, jadi siapa saja bisa mengidentifikasi kendaraan
    • Saat wardriving dengan aplikasi Wigle, banyak SSID seperti “Jennifer’s Equinox” atau “Jack’s Suburban” yang terlihat
      Perangkat Apple juga memakai nama bawaan seperti “Jack’s iPhone”, jadi identifikasi pribadi jadi terlalu mudah
      Ini menyadarkan saya bahwa perusahaan tidak melindungi pengguna lewat pengaturan bawaan

  • Sejak 2 tahun lalu saya membiasakan diri menyalakan Bluetooth hanya saat perlu
    Setelah layanan “Find My” dari Apple dan “Find Hub” dari Google muncul, konsumsi baterai terasa meningkat jelas
    Tidak ada cara untuk benar-benar opt-out, jadi pada akhirnya satu-satunya cara menghemat baterai adalah mematikan BT

    • Saya juga selalu mematikannya sejak masa awal BT
      Mengejutkan melihat begitu banyak orang sangat cuek terhadap keamanan dan privasi

  • Di wilayah Washington DC, Maryland, Virginia, dan Delaware, lalu lintas sudah dilacak lewat sinyal Bluetooth dan EZ-Pass
    Kecepatan kendaraan dihitung dari jeda antar deteksi ID tertentu, lalu waktu lampu lalu lintas disesuaikan untuk memperbaiki arus kendaraan

  • Pada masa awal ponsel, kami biasa bermain di kereta bawah tanah dengan menebak orang berdasarkan nama perangkat Bluetooth di sekitar
    Waktu itu semua orang memberi nama perangkat yang unik

    • Pada wawancara kerja tahun 2006, pewawancara bilang akan mengirim file lewat Bluetooth, dan nama ponsel saya adalah “ILikeToWatchThingsDie”
      Untungnya saya tetap diterima meski namanya begitu
    • Saya kadang mengganti nama perangkat saya menjadi nama iseng seperti “[singkatan lembaga] Surveillance Van #43”
    • Pada suatu titik, toko-toko mulai membanjiri perangkat dengan iklan Bluetooth, jadi akhirnya saya mematikannya
    • Dulu objek kalender OBEX bisa dikirim tanpa batasan apa pun, jadi orang iseng bisa membuat alarm berbunyi jam 3 pagi
    • Saya juga dulu suka melacak vendor lewat alamat MAC. Sejak saat itu sudah terasa bahwa pelacakan lewat metadata memang memungkinkan

  • Tulisan blog yang ditulis AI sepertinya akan terus ada sampai hype-nya memudar

  • Pelacakan Bluetooth adalah sarana pengawasan yang jauh lebih tersembunyi dan murah dibanding observasi visual
    Kamera terlihat jelas, tapi penerima BT bisa disembunyikan sepenuhnya

    • Saya berencana memasang ESP32 Cam di depan pintu
      Untuk mengumpulkan metadata Bluetooth dan Wi-Fi, lalu mungkin mencocokkan video dengan alamat MAC
      Untuk saat ini rencananya hanya dipakai mendeteksi paket kiriman

  • Menarik bahwa di rumah kita bisa mendeteksi pola pergerakan kurir lewat Bluetooth
    Bahkan dengan Raspberry Pi sederhana, kita bisa melacak pairing ponsel dan jam tangan untuk membuat profil pergerakan
    Jadi saya ingin memeriksa apakah perangkat saya memancarkan sinyal yang tidak perlu

    • Sebenarnya sebagian besar layanan pengiriman tampaknya sudah melakukan pelacakan berbasis aplikasi
      Mengidentifikasi pengemudi lewat ID unik pun seharusnya tidak sulit

  • Baru-baru ini saya sedang menguji tuning antena BLE dengan Nordic NRF52840 SoC
    Saat memindai perangkat sekitar dengan aplikasi ‘nRF Connect’, saya menemukan perangkat BLE misterius, dan ternyata itu adalah pacemaker ayah saya
    Dari pengalaman ini saya jadi tahu bahwa pacemaker tetap ada bahkan setelah kematian,
    dan saya sampai bermimpi buruk tentang sinyal BLE yang tertangkap dari dalam kuburan

  • Dinas jalan di daerah saya juga mengukur kecepatan kendaraan dengan Bluetooth
    Dengan membandingkan waktu saat ID tertentu terdeteksi di dua titik, mereka bisa memantau arus lalu lintas secara real-time

  • Randomisasi alamat MAC Bluetooth sangat dibutuhkan
    Wi-Fi sudah mendukungnya, tetapi kebanyakan orang masih menyiarkan pengenal BT yang tetap

    • Sebenarnya Bluetooth sudah punya metode randomisasi bernama “resolvable private address”
      Alamatnya berubah secara berkala, tetapi jika momen rotasinya dilacak, perangkat yang sama masih bisa disimpulkan
      Seperti pada iPhone dan Apple Watch, jenis perangkat juga bisa diidentifikasi lewat analisis pola
      Untuk benar-benar mencegahnya, dibutuhkan peralatan canggih seperti radio fingerprinting
    • iOS sudah menggunakan MAC Bluetooth acak bersama Wi-Fi