更严重的攻击媒介是网络钓鱼或分发恶意软件。使用合法和/或吸引人的名称设置信标，广播恶意链接。鉴于（至少目前）这将主要与 Android 一起使用，考虑到这些设备的安全记录，您将获得更大的成功。（但当然，谷歌更喜欢使用信标而不是解决更重要的问题，例如）。

一个解决方案是让 CA 就像在 X509 世界中一样，其中侦听信标的客户端软件根据其信任存储检查广播的签名，并注册一个信标，您必须从 CA 获取证书，该证书将执行验证您要广播的内容（因此 Honest Joe 无法制作名为 Bank 的信标并广播网络钓鱼链接）。

针对广播强度放大攻击，客户端设备应该“ping”信标并观察它们需要多长时间才能响应。有了它，您可以根据空气中的光速计算到信标的距离。你可以有一个非常强的信号，但如果信标在物理上很远，它仍然需要（相对）较长的时间来响应。但是，这会带来一个不同的问题，如果客户端设备现在正在 ping 信标，那么您就会遇到隐私问题，因为现在可以检测和跟踪客户端设备。

URL 列表按信号强度排列。

这仅适用于某些客户，甚至大多数客户都不是。Chrome 客户端和 GitHub 上的原型 Physical Web 原型应用程序都按距离估计排序，该距离估计是根据信号强度和 TX 功率计算得出的。TX 功率是信标声称其广播强度的值。

是什么阻止了某人提高信标的广播强度以使其排名第一？

鉴于前面的注释，真正的问题是什么阻止某人降低其信标的 TX 功率以使他们排名第一。这是我们在野外实际看到的。目前没有单一的解决方案；正如我所说，不同的物理网络客户端以不同的顺序显示结果。然而，考虑到周围通常没有很多信标，即使在更密集的区域，人们也不必担心被折叠起来。值得庆幸的是，随着它变得越来越普遍，我们将有一些时间来处理这个问题。

可以想象，最终排名将不仅仅基于距离估计等粗略值，而是基于这些值与其他指标（之前的参与度等）的组合。那时，宣传虚假距离只会损害信标的排名——如果即使非常接近也没有选择它，这看起来会是一个糟糕的结果。