Уязвимость Tile делает пользователей жертвами слежки
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследование специалистов по безопасности выявило серьёзную уязвимость в Bluetooth-метках Tile — популярных устройствах для поиска потерянных вещей. Оказалось, их можно использовать для слежки за людьми, причём сам владелец может этого даже не заметить.
В чём суть проблемы? Метки Tile не шифруют часть своих данных. Это значит: злоумышленник может перехватить уникальный идентификатор и MAC-адрес трекера, а потом отслеживать его передвижения — достаточно всего одного перехваченного сигнала. Причём "анти-воришка" (anti-theft) режим, который должен был бы защищать от краж, лишь скрывает метку из сети Tile, но делает слежку ещё проще — найти чужой трекер становится почти невозможно.
Пока Apple и Samsung внедряют скользящий (случайно изменяемый) идентификатор для своих AirTags и SmartTags, Tile оставляет MAC-адрес метки постоянным. Этого достаточно, чтобы один раз отследить устройство и делать это бесконечно. Исследователи из Georgia Institute of Technology подчёркивают: конкуренты уже давно всё поняли, только Tile упрямо не внедряет такую функцию.
Директор по кибербезопасности Electronic Frontier Foundation (EFF) Ева Гальперин уже много лет предупреждает об опасности Bluetooth-меток: "Tile отлично знает о своих слабостях, но игнорирует очевидное." EFF участвует в разработке стандартов, обязующих производителей шифровать данные и чаще менять MAC-адреса — чтобы усложнить жизнь преследователям.
Компания Tile требует от активирующих "анти-воришка" режим фото паспорта и обещает миллионный штраф за злоупотребления, но, по словам Гальперин, это не поможет. Ведь чтобы штраф сработал, нужно поймать виновника, а сама технология мешает его обнаружить.
Владелец Tile уверяет — "мы многое улучшили", "использование устройства для слежки запрещено правилами", "мы сотрудничаем с полицией". Вот только новости от исследователей говорят: пока простые пользователи рискуют стать жертвами слежки.
PEREC.RU
Tile, казалось бы, создаёт инструменты для поиска потерянных ключей, а попал в классику жанра — «создай проблему, а виноваты будут пользователи». Шифрование? Зачем! Каждый уважающий себя сталкер теперь обзавёлся Tile — надо же где-то тренировать паранойю. Гарантии производителя выглядят уморительно: сфоткайте паспорт и сходите в полицию, если что — ведь определённо, тот, кто решит вас преследовать, обязательно предъявит своё удостоверение личности.
Тонкие намёки компании на "улучшения" — уровень шоу на региональном ТВ: много улыбок, забыли про смысл. Стандарты шифрования — для слабаков, ведь круто жить, когда любой неприятель может отследить MAC-адрес один раз и раз и навсегда.
Apple и Samsung давно научились защищать пользователей. Tile же делает ставку на общественное доверие: если что — сами виноваты, не так смотрели на Bluetooth. Неудивительно, что вопросы преследования и безопасности теперь благополучно смешались в чашке дешёвого кофе с надписью Tile. Производитель ведёт себя, будто презренные нюансы приватности — часть древней магии, которой он не совсем владеет.
В итоге — типичный случай, когда техническая некомпетентность подаётся под соусом заботы. Пользователь в шляпе — главное достижение Tile: и потеряевший, и преследуемый в одном лице. Ирония: чем активнее компания заявляет о "заботе", тем быстрее ваши ключи ищут вас, а не наоборот.
