Команда исследователей из Технологического института Джорджии (Georgia Tech) сообщила о ряде уязвимостей приватности в Bluetooth‑трекерах Tile. По их данным, устройства передают ключевые идентификаторы в открытом виде, используют статические MAC‑адреса и позволяют серверам производителя собирать данные о перемещениях без сквозного шифрования, что упрощает деанонимизацию владельцев и отслеживание их маршрутов.
Что именно обнаружили специалисты
Анализ включал декомпиляцию Android‑приложения Tile, изучение BLE‑трафика и сетевых запросов между Tile Mate и смартфоном Google Pixel 3 XL. Исследователи зафиксировали, что трекер постоянно транслирует через Bluetooth открытые рекламные пакеты (BLE advertisements), в которых фигурируют идентификаторы, а также постоянный MAC‑адрес. Дополнительно выявлено, что уникальные ID частично рандомизированы, но со временем повторно используются, что облегчает долгосрочную корреляцию устройств.
На стороне инфраструктуры отмечена телеметрия: серверы Tile получают данные о местоположении, MAC‑адресах и уникальных идентификаторах без сквозного шифрования (end‑to‑end). Это означает, что провайдер сервиса потенциально имеет доступ к содержимому и метаданным, в отличие от классической модели E2EE, где доступ ограничен только конечными устройствами. В результате злоумышленник, перехватывающий BLE‑вещание, может идентифицировать конкретный трекер и выстраивать профили перемещений владельца.
Антисталкинг: системные механизмы против пользовательских
Scan and Secure и «защита от краж» — конфликт целей
Функция Scan and Secure, предназначенная для выявления неавторизованных трекеров поблизости, делает метки видимыми для всех, кто запустит сканирование. Одновременно опция «защита от краж», которую производитель позиционирует для скрытого размещения трекеров, может скрывать устройства от обнаружения в Scan and Secure. Авторы работы отмечают, что при активной «защите от краж» серверы Tile не показывают результаты по конкретным меткам, однако «пользователь с модифицированным приложением может отобразить все privateID, записанные во время поиска». Такой дизайн создает окно возможностей для злоупотребления.
Почему важен уровень ОС
По словам исследователей, большинство конкурентов реализуют алгоритмы антисталкинга на уровне операционной системы: фоновое сканирование BLE работает постоянно, а пользователь получает автоматические уведомления о нежелательных трекерах. Tile как стороннее приложение не имеет равного уровня интеграции и полагается на ручные проверки, что образует «слепые зоны» в обнаружении. В последние годы Apple и Google развивают системные оповещения о нежелательных трекерах, но в экосистеме Tile подобная защита ограничена архитектурно.
Риски для приватности и правовой контекст
В 2023 году на компанию Life360, владеющую Tile, подали иски, в которых указывалось, что интеграция с сетью Amazon Sidewalk расширяет радиус обнаружения и может повышать риски преследования. Хотя в Android и iOS были внедрены дополнительные механизмы против сталкинга, исследование Georgia Tech показывает, что текущая реализация протоколов Tile все еще допускает необоснованную корреляцию устройств и маршрутов их владельцев.
Отдельного внимания заслуживает вопрос шифрования. Заявления о «шифровании на пути к серверу» обычно означают защиту канала передачи (например, TLS), но не исключают доступа сервера к данным. Для сценариев, связанных с персональными перемещениями, сквозное шифрование и агрессивная рандомизация идентификаторов — наиболее надежные подходы к минимизации рисков deanonymization и отслеживания.
Ответ Life360 и предложенные меры
Исследователи сообщили о находках Life360 в ноябре 2024 года. По их словам, компания первоначально признала проблемы, но затем диалог прекратился; у вендора также не обнаружено публичного канала для ответственного раскрытия уязвимостей. В комментарии изданию The Register Life360 подтвердили получение предупреждений и заявили о внедрении улучшений, включая шифрование данных на пути от устройств к серверам и переход на сменяемые (rotating) MAC‑адреса. Конкретные технические детали при этом не раскрываются.
В качестве мер смягчения исследователи рекомендуют: рандомизацию MAC‑адресов (BLE Privacy, RPA), сквозное шифрование, ротацию эфемерных идентификаторов с криптографической привязкой, а также минимизацию серверной корреляции и хранения геоданных.
Практические рекомендации пользователям и компаниям
Пользователям: регулярно обновляйте приложение Tile и ОС; реагируйте на системные уведомления о «неизвестных трекерах»; периодически выполняйте сканирование окружения; при повышенных требованиях к приватности ограничьте участие в сторонних сетях локализации (включая Sidewalk); оценивайте необходимость использования трекеров, у которых идентификаторы и MAC‑адреса не регулярно ротируются.
Организациям: включите трекеры в реестр ИТ‑активов и модели угроз; проверьте политики хранения и обмена геоданными поставщика; требуйте прозрачных процедур раскрытия уязвимостей и дорожных карт по внедрению E2EE и полной рандомизации идентификаторов; проводите периодический BLE‑аудит пространства, где приватность критична (офисы, объекты инфраструктуры).
Вывод прост: BLE‑трекеры полезны, но их безопасность определяется деталями реализации протокола. Если вендор использует статические идентификаторы и ограничивается «шифрованием канала» без E2EE, возрастают риски deanonymization и слежки. Оценивайте архитектуру и политику обработки данных поставщика, включайте антисталкинг‑инструменты и требуйте от производителей прозрачности и независимых аудитов.
