Глобальная сеть слежки уже построена — её основа в ваших ключах
NewsMakerТеперь за вами может наблюдать любой сосед с антенной.
Ученые из Технологического института Джорджии поделились результатами анализа системы отслеживания меток Tile, которыми пользуются более 88 миллионов человек по всему миру. Специалисты обнаружили, что эти устройства передают критически важные данные в открытом виде, что создаёт серьёзные риски слежки и злоупотреблений. Tile принадлежит компании Life360, которая в своих заявлениях утверждает, что не имеет технической возможности отслеживать пользователей. Однако исследователи доказали обратное.
Каждый трекер Tile транслирует в эфир уникальный идентификатор и MAC-адрес, не защищённые шифрованием. Эти сведения легко перехватить с помощью смартфона или радиочастотной антенны и использовать для отслеживания передвижений владельца. Более того, такие же незашифрованные данные передаются на серверы Tile и, по словам специалистов, хранятся там в открытом виде. Это означает, что компания теоретически может вести централизованное наблюдение за всеми владельцами меток и их гаджетов, а при необходимости предоставлять эту информацию сторонним организациям.
По оценке исследователей, такая архитектура превращает Tile в глобальную систему наблюдения. В отличие от Apple, Google или Samsung, которые используют сквозное шифрование и регулярно меняющийся идентификатор, Tile транслирует одновременно и статический MAC-адрес, и вращающийся ID. В результате даже при смене уникального номера постоянный адрес позволяет продолжать слежку за устройством на протяжении всего срока его работы.
Ситуацию усугубляют слабые механизмы защиты от злоупотреблений. Tile предлагает пользователям режим «Scan and Secure», позволяющий выявить посторонние метки поблизости, но его нужно запускать вручную, и работает он лишь 10 минут. Чтобы функция сработала, человек должен перемещаться в пространстве во время сканирования и регулярно повторять процедуру. В отличие от конкурентов, которые автоматически уведомляют о появлении неизвестных устройств , здесь ответственность полностью ложится на владельца смартфона.
Исследователи также установили, что функция «антиугон», позиционируемая как защита от кражи, фактически открывает дорогу для скрытой слежки. Если активировать этот режим, метка становится невидимой для сканирования в приложении, и жертва не сможет узнать, что за ней закреплено устройство слежения. При этом вся собранная информация всё равно продолжает поступать на сервер Tile. Таким образом, злоумышленник получает способ обхода антисталкинговых мер.
Более того, команда выявила возможность подставить невиновного человека под подозрение в преследовании. Для этого достаточно записать радиосигнал настоящего трекера , а затем воспроизвести его в другом месте. В результате приложение покажет, будто рядом находится устройство конкретного владельца, а на сервер уйдут ложные данные о его местоположении.
В ответ на обращение исследователей Life360 ограничилась общими фразами о «нескольких улучшениях», не уточнив, в чём они заключаются. Контакт с командой специалистов компания прекратила ещё в феврале, хотя впервые получила отчёт об уязвимостях в ноябре прошлого года.
Сегодня метки Tile интегрированы не только в самостоятельные брелоки, но и в устройства крупных производителей — от ноутбуков Dell до наушников Bose и фитнес-браслетов Fitbit. С 2021 года они также поддерживаются инфраструктурой Amazon Sidewalk, в которую входят камеры Ring и колонки Echo. Всё это делает проблему массовой и затрагивающей миллионы пользователей по всему миру.
Исследователи подчёркивают, что устранить уязвимости можно было бы простым внедрением шифрования при передаче данных, как это сделали другие производители. Но пока архитектура Tile остаётся без изменений, пользователи рискуют оказаться объектом постоянного наблюдения — как со стороны злоумышленников, так и со стороны самой компании.
Ученые из Технологического института Джорджии поделились результатами анализа системы отслеживания меток Tile, которыми пользуются более 88 миллионов человек по всему миру. Специалисты обнаружили, что эти устройства передают критически важные данные в открытом виде, что создаёт серьёзные риски слежки и злоупотреблений. Tile принадлежит компании Life360, которая в своих заявлениях утверждает, что не имеет технической возможности отслеживать пользователей. Однако исследователи доказали обратное.
Каждый трекер Tile транслирует в эфир уникальный идентификатор и MAC-адрес, не защищённые шифрованием. Эти сведения легко перехватить с помощью смартфона или радиочастотной антенны и использовать для отслеживания передвижений владельца. Более того, такие же незашифрованные данные передаются на серверы Tile и, по словам специалистов, хранятся там в открытом виде. Это означает, что компания теоретически может вести централизованное наблюдение за всеми владельцами меток и их гаджетов, а при необходимости предоставлять эту информацию сторонним организациям.
По оценке исследователей, такая архитектура превращает Tile в глобальную систему наблюдения. В отличие от Apple, Google или Samsung, которые используют сквозное шифрование и регулярно меняющийся идентификатор, Tile транслирует одновременно и статический MAC-адрес, и вращающийся ID. В результате даже при смене уникального номера постоянный адрес позволяет продолжать слежку за устройством на протяжении всего срока его работы.
Ситуацию усугубляют слабые механизмы защиты от злоупотреблений. Tile предлагает пользователям режим «Scan and Secure», позволяющий выявить посторонние метки поблизости, но его нужно запускать вручную, и работает он лишь 10 минут. Чтобы функция сработала, человек должен перемещаться в пространстве во время сканирования и регулярно повторять процедуру. В отличие от конкурентов, которые автоматически уведомляют о появлении неизвестных устройств , здесь ответственность полностью ложится на владельца смартфона.
Исследователи также установили, что функция «антиугон», позиционируемая как защита от кражи, фактически открывает дорогу для скрытой слежки. Если активировать этот режим, метка становится невидимой для сканирования в приложении, и жертва не сможет узнать, что за ней закреплено устройство слежения. При этом вся собранная информация всё равно продолжает поступать на сервер Tile. Таким образом, злоумышленник получает способ обхода антисталкинговых мер.
Более того, команда выявила возможность подставить невиновного человека под подозрение в преследовании. Для этого достаточно записать радиосигнал настоящего трекера , а затем воспроизвести его в другом месте. В результате приложение покажет, будто рядом находится устройство конкретного владельца, а на сервер уйдут ложные данные о его местоположении.
В ответ на обращение исследователей Life360 ограничилась общими фразами о «нескольких улучшениях», не уточнив, в чём они заключаются. Контакт с командой специалистов компания прекратила ещё в феврале, хотя впервые получила отчёт об уязвимостях в ноябре прошлого года.
Сегодня метки Tile интегрированы не только в самостоятельные брелоки, но и в устройства крупных производителей — от ноутбуков Dell до наушников Bose и фитнес-браслетов Fitbit. С 2021 года они также поддерживаются инфраструктурой Amazon Sidewalk, в которую входят камеры Ring и колонки Echo. Всё это делает проблему массовой и затрагивающей миллионы пользователей по всему миру.
Исследователи подчёркивают, что устранить уязвимости можно было бы простым внедрением шифрования при передаче данных, как это сделали другие производители. Но пока архитектура Tile остаётся без изменений, пользователи рискуют оказаться объектом постоянного наблюдения — как со стороны злоумышленников, так и со стороны самой компании.