Rita El Khoury / Autoridade Android
Tl; Dr
- Falhas de segurança significativas foram descobertas nos rastreadores de Tile.
- Os pesquisadores descobriram que as tags transmitem um endereço MAC não criptografado e um ID exclusivo que outros dispositivos e antenas Bluetooth podem captar e rastrear.
- Os rastreadores também enviam dados não criptografados para os servidores da Tile, que a empresa poderia usar para rastrear as tags dos proprietários.
Quando você usa um rastreador Bluetooth, como o Tile, normalmente está preocupado em localizar itens equivocados. Mas talvez você deva estar mais preocupado com estranhos o rastreando. Pesquisadores do Instituto de Tecnologia da Geórgia identificaram algumas grandes falhas de segurança nos rastreadores de ladrilhos que os perseguidores poderiam explorar para rastrear seu paradeiro.
Não quero perder o melhor de Autoridade Android?
De acordo com um relatório de ConectadoAkshaya Kumar, Anna Raymaker e Michael Specter, da Georgia Tech, descobriram falhas de segurança que afetavam os rastreadores individuais de ladrilhos. O problema em questão está relacionado à forma como os rastreadores retransmitem os dados durante o uso. Esses pesquisadores “descobriram que cada tag transmite um endereço MAC não criptografado e um ID exclusivo que pode ser capturado por outros dispositivos Bluetooth ou antenas de frequência de rádio nas proximidades de uma tag para rastrear os movimentos da tag e seu proprietário”.
Com o know-how certo, um perseguidor de tecnologia pode usar a exploração para rastrear a localização de um usuário. O que é mais preocupante é que, mesmo que o Tile parasse de transmitir o endereço MAC, pode ser tarde demais. A maneira como a empresa gera seu ID rotativo possibilita prever códigos futuros dos anteriores.
“Um invasor só precisa gravar uma mensagem do dispositivo”, disse um dos pesquisadores. Acrescentando que, se o invasor puder gravar uma única mensagem do dispositivo, ele “imprimirá a impressão digital pelo resto da vida”.
Além desta questão, os pesquisadores viram uma segunda questão. Segundo o relatório, o endereço MAC não criptografado e o ID exclusivo são enviados para os servidores do Tile. Os pesquisadores acreditam que esses dados são armazenados no ClearText, o que daria “a ladrilhos a capacidade de rastrear a localização das tags e seus proprietários, mesmo que a empresa afirme que não possui essa capacidade”.
As empresas de rastreamento de localização implementaram soluções para alertar os usuários quando um dispositivo de rastreamento que não possui é se mover com eles. No entanto, essa exploração pode ser usada para contornar essas salvaguardas.
Os pesquisadores afirmam que entraram em contato com a empresa controladora da Tile, Life360, em novembro passado para avisá -los sobre o assunto. No entanto, parece que a empresa cessou as comunicações em fevereiro. Em um e -mail enviado para ConectadoLife360 afirma que “fez várias melhorias” desde que recebeu o relatório do pesquisador.
Obrigado por fazer parte da nossa comunidade. Leia nossa política de comentários antes de postar.
