- Исследователи обнаружили уязвимость в трекерах Tile, позволяющую отслеживать пользователей через незашифрованные MAC-адреса и уникальные идентификаторы.
- Эта уязвимость позволяет злоумышленникам обходить меры защиты, введённые компанией в 2023 году после инцидентов с преступным использованием устройств.
- Информация о местоположении и уникальных данных трекеров передаётся в незашифрованном виде на серверы Tile, что вызывает вопросы о безопасности хранения и возможностях самой компании по слежке.
Исследователи из Технологического института Джорджии выявили серьёзную уязвимость в популярных трекерах Tile, которые широко используются для поиска потерянных предметов. Данная уязвимость позволяет злоумышленникам отслеживать передвижения владельцев устройств, используя стандартные средства анализа трафика беспроводных сетей.
Суть проблемы заключается в том, что каждая метка Tile передаёт свой MAC-адрес и уникальный идентификатор в незашифрованном виде. Эти данные могут быть перехвачены другими Bluetooth-устройствами или радиочастотными антеннами в непосредственной близости, что даёт возможность скрытно отслеживать пользователя по перемещениям трекера.
Стоит отметить, что выявленные уязвимости касаются не только самих устройств Tile, но и методов их связи с инфраструктурой компании Life360, которая является владельцем сервиса Tile. Несмотря на то, что в 2023 году производитель ввёл усиленные меры защиты — включая трёхэтапную проверку личности пользователей для регистрации устройств и обязательное согласие на передачу данных правоохранительным органам в случае инцидентов — это не предотвратило отслеживание через перехват Bluetooth-сигналов.
Эти меры были введены после громких случаев злоупотребления трекерами со стороны воров, преследователей и других злоумышленников. Однако, как подчёркивают исследователи, новые протоколы не позволяют определить, взаимодействует ли метка с внешним Bluetooth-устройством, и не шифруют передаваемые данные, что делает защиту недостаточной.
Кроме того, местоположение меток и их уникальные идентификаторы передаются на серверы Tile в незашифрованном виде. По мнению экспертов, это означает, что потенциально сама компания может иметь техническую возможность отслеживать пользователей, несмотря на публичные заявления Tile о невозможности таких действий.
В свете выявленных проблем вопросы безопасности и конфиденциальности данных владельцев трекеров остаются вполне актуальными. Данная ситуация подчёркивает важность постоянного обновления и улучшения методов защиты личной информации в устройствах, находящихся в повседневном использовании.
