Исследователи выяснили, что трекеры Tile передают координаты и идентификаторы без шифрования
Bluetooth-трекеры Tile, популярные для поиска потерянных ключей и рюкзаков, оказались куда менее безопасными, чем обещает производитель. Команда Технологического института Джорджии установила, что метки передают по радио и через собственные серверы Life360 статические MAC-адреса, уникальные ID и данные о местоположении в открытом виде. Любой, у кого есть недорогой приёмник Bluetooth, способен незаметно идентифицировать трекер и вести журнал перемещений его владельца.
Анализ прошивки Tile Mate и декомпиляция Android-приложения показали: рандомизация адресов практически отсутствует, а сменяемые ID повторяются циклически. В результате сигнал устройства легко «подхватывается» и сопоставляется с человеком даже после долгого перерыва. Сквозное шифрование между меткой и облаком Life360 тоже не используется — серверы получают координаты в чистом виде, что создаёт дополнительный риск утечки или несанкционированного доступа.
Проблема усугубляется тем, что функция Scan and Secure, позиционируемая как защита от сталкинга, работает лишь по запросу пользователя и делает все найденные трекеры видимыми для окружающих. Одновременно рекламируемый режим «защита от кражи» скрывает метку от сканера, фактически облегчая задачу злоумышленнику. На фоне громких исков 2023 года, где жертвы преследования связывали действия сталкеров с сетью Amazon Sidewalk, такие недочёты выглядят особенно тревожно.
Учёные уведомили Life360 о найденных уязвимостях ещё в ноябре 2024-го и предложили рандомизацию MAC-адресов и полноценное шифрование. Компания сначала признала проблему, но потом перестала отвечать на запросы. В комментарии The Register представители Life360 сообщили, что «уже внедряют шифрование и динамические MAC», однако деталей и сроков не раскрыли.
Tile Mate остаётся одним из самых доступных трекеров на рынке: дальность радиоканала до 120 м, батарея на несколько лет, защита от влаги. Тем не менее эксперты советуют пользователям, для которых критична конфиденциальность, временно отказаться от устройства или хотя бы отключить режим «защита от кражи» до появления официального патча.
