Трекеры Tile оказались идеальным инструментом для сталкеров — и компания об этом знала
Исследователи безопасности обнаружили серьезные уязвимости в трекерах Tile, которые превращают эти устройства в настоящий подарок для сталкеров. Как сообщает издание Wired, режим защиты от кражи, который делает метки «невидимыми» в сети Tile, на деле полностью нивелирует меры против слежки. Более того, злоумышленники могут перехватывать незашифрованную информацию от трекеров — уникальные идентификаторы и MAC-адреса — и отслеживать их перемещения через другие Bluetooth-устройства. Впрочем, для Евы Гальперин, директора по кибербезопасности в Electronic Frontier Foundation (правозащитная организация), это не новость: она годами предупреждала о рисках, связанных с Bluetooth-трекерами.
Исследователи из Технологического института Джорджии — Акшая Кумар, Анна Реймейкер и Майкл Спектер — провели реверс-инжиниринг приложения Tile и выяснили пикантную деталь. Если Apple с метками AirTag и Samsung со SmartTags регулярно меняют и уникальные идентификаторы, и MAC-адреса своих трекеров, то Tile ротирует только первые. MAC-адрес остается неизменным на протяжении всего срока службы устройства, что позволяет связать его с конкретной меткой. «Атакующему нужно записать всего одно сообщение от устройства, чтобы отслеживать его до конца жизни», — объясняет Кумар. Звучит как приглашение на танец для тех, кто не прочь поиграть в Большого Брата.
Особенно пикантна ситуация с функцией «Scan and Secure», которая должна помогать обнаруживать нежелательные трекеры поблизости. Сталкеры легко обходят её, включив режим «анти-кража» — тот самый, что скрывает метку от сети Tile. Да, компания требует фото паспорта и согласие на штраф в миллион долларов за злоупотребление функцией, но как справедливо замечает Гальперин: «Сталкера сначала нужно поймать, а они только что предоставили технологию, которая этому препятствует». Гальперин подчеркивает, что EFF работает над стандартом Detecting Unwanted Location Trackers, который уже приняли Google и Apple, и который включает такие базовые требования, как шифрование данных и ротация MAC-адресов.
В ответ на запрос издания The Verge представитель материнской компании Tile — сервиса Life360 — Кристи Коллура заявила, что с момента получения отчета исследователей в ноябре было «внесено множество улучшений». Правда, какие именно улучшения и решена ли проблема с шифрованием, компания умолчала. Зато напомнила, что использование Tile для слежки нарушает пользовательское соглашение и что в редких случаях предполагаемого злоупотребления они сотрудничают с правоохранительными органами. Остается только надеяться, что «улучшения» окажутся чуть более существенными, чем обновление формулировок в юридических документах.
