Исследователи из Технологического института Джорджии обнаружили уязвимости в трекерах Tile, которые позволяют отслеживать передвижения пользователей устройств с помощью стандартных анализаторов трафика беспроводных сетей.
Проблемы затрагивают как отдельные устройства Tile, так и методы, используемые этими устройствами для связи с инфраструктурой, управляемой владельцем — компанией Life360.
Выяснилось, что каждая метка передаёт незашифрованный MAC-адрес и уникальный идентификатор, которые могут быть перехвачены другими Bluetooth-устройствами или радиочастотными антеннами поблизости для отслеживания перемещений владельца.
Эти методы позволяют обойти меры защиты, добавленные Tile к своим устройствам в 2023 году. Их внедрили после нескольких громких случаев использования трекеров ворами, преследователями и другими преступниками. Тогда компания потребовала от пользователей зарегистрировать свой трекер с использованием удостоверения личности, а также дать согласие на то, чтобы Tile могла передавать эту информацию правоохранительным органам. Процесс проверки личности сделали трёхэтапным, а Tile использовала услуги неназванного стороннего поставщика, который специализируется на проверке личности по фото.
Эти меры были призваны затруднить слежку, например, путём подбрасывания трекера в сумку, но они не позволяют определить, взаимодействует ли Tile с внешне безобидным Bluetooth-устройством.
Отмечается, что местоположение метки, её MAC-адрес и уникальный идентификатор передаются в незашифрованном виде на серверы Tile, где, по мнению исследователей, эта информация хранится в открытом виде. Таким образом, сама компания потенциально может отслеживать местоположение меток и их владельцев, хотя и утверждает, что у неё нет такой возможности.
Источник: habr.com