关于在 Wi-Fi 未连接的情况下 可否发现客户端的问题

比方说有一个手机 app ，他扫描一下 wifi 所有频道，就能拿到所有附近 wifi AP 的 SSID 和 BSSID （设置隐藏的 AP 只拿到 BSSID ，除非他有客户端链接由其它客户端主动暴露 SSID ）

换句话说，手机 app 即使不使用其它定位手段，通过扫描 wifi 就能锁定大致位子

这理解没错吧？

   问题来了，扫描 SSID,BSSID 的过程是不是一个只接收无线电而不发射无线电的过程？普通无线网卡能不能发现有设备在扫描 SSID,BSSID 列表。
   换个问法就是客户端设备在扫描 wifi 列表的时候，会不会暴露自己的特征，例如 BSSID

蓝牙虽然有设计所谓可发现模式，但那玩意只是隐藏了名字，并不会停止广播。。。kali 自带的 redfang 工具就能直接扫描隐藏的蓝牙设备。。。然后各大厂商为了方便，蓝牙设备的 mac 还都是固定的（不然怎么连上之前的耳机？）等于说时时刻刻都能跟踪

@codehz 蓝牙是不是也有类似情况？ 如果是的话，相当于联网的手机 app ，可以通过 Wi-Fi 和蓝牙获取附近有 Wi-FI 和蓝牙但并不联网的设备。一旦这些不联网设备移动到其它地方，也会被就地的联网的手机 app 扫描，就可以实现类似于 AirTag 那样对不直接联网设备定位跟踪？

我觉得 GPS 信号和 wifi 还是有差异的吧, GPS 这种已经是公开的信号编码方式, 但是 wifi 还是携带了加密信息和名字之类的, 那你扫描获取的过程是不是已经和路由器进行了交互通信? 就好像有个人在大声说话, GPS 是都能听懂, 但是 wifi 是要先问问这个人说的是什么语言,这一问是不是就暴露了?

不仅可以知道谁在扫描，还能在一定程度上精准跟踪扫描的设备（而且即使设备已经连接上 wifi 也定期会发 probe 请求），甚至可以知道这个设备之前连接过哪些隐藏 ssid 的 wifi （没错，你隐藏 ssid 反而会把信息一直广播出去，隐藏了等于没隐藏） https://arxiv.org/pdf/2206.03745

客户端哪里来的 bssid. 扫描分主动扫描跟被动扫描，主动扫描需要发送 probe 报文，被动扫描无法扫描隐藏 SSID 的 AP. 另外 WiFi 现在频道比较多，不是扫就能扫完的。

获取 wifi ssid 列表需要定位权限。

没深度研究过，从直觉和常识来推理，是不会暴露的。 就像 GPS 卫星和 FM 发射台，他们只负责把数据广播出来，不会管理有多少个客户端在消费这个数据。 如果无线路由还要处理客户端扫描 wifi 的动作，负载太高。如果无线路由不处理，那么客户端就没必要在扫描 wifi 的时候暴露自己的 BSSID 。 当然以上都是猜测，如果有新发现 OP 踢一下哈。

突然想起来几年前用频谱仪+天线贴近手机，手机进行 wifi 扫描的时候，频谱仪是可以检测到 2.4GHz 附近有无线电信号的，但是不知道有没有 BSSID 信息。