Серьёзные проблемы безопасности
Исследователи обнаружили критические уязвимости в системе безопасности трекеров Tile, которые позволяют как самой компании, так и технически подкованным злоумышленникам отслеживать местоположение пользователей. Более того, эти уязвимости могут использоваться для ложного обвинения владельцев Tile в преследовании.
Как работает уязвимость
Проблема кроется в способе передачи данных трекерами Tile. В отличие от других подобных устройств, теги Tile передают значительно больше информации, включая статический MAC-адрес и постоянно меняющийся идентификатор. При этом вся эта информация передаётся в незашифрованном виде.
Исследователи утверждают, что все эти данные хранятся в открытом виде, что делает их лёгкой мишенью для хакеров. Теоретически это даёт возможность даже самой компании Tile отслеживать своих пользователей, хотя компания отрицает наличие такой возможности.
Масштаб угрозы
Ситуация усугубляется тем, что любой человек с радиочастотным сканером может перехватить передаваемую информацию. Даже если Tile прекратит передачу MAC-адреса, проблема не будет решена, поскольку алгоритм генерации изменяющегося идентификатора позволяет предсказывать будущие коды на основе предыдущих.
По словам исследователей, достаточно записать всего одно сообщение от устройства, чтобы идентифицировать его на протяжении всего срока службы. Это создаёт риск системного наблюдения.
Реакция компании
Исследователи из Технологического института Джорджии уведомили компанию Life360 (владельца Tile) о найденных уязвимостях в ноябре прошлого года. Однако, по данным издания Wired, компания прекратила общение с исследователями в феврале. Life360 заявила о внесении ряда улучшений в систему безопасности, но детали не раскрыла.
