详细内容或原文请订阅后点击阅览
研究人员警告称,磁贴追踪器受到安全薄弱的困扰
研究人员发现Life360的瓷砖跟踪器中有几个安全问题,其中大多数可以通过加密来解决。
来源:Malwarebytes Labs 博客佐治亚理工学院的研究人员仔细检查了流行的 Tile 跟踪器的安全性,结果感到失望。
蓝牙追踪器是一个稳定增长的市场,Life360 是主要参与者之一。 2021 年,亚马逊扩大了 Sidewalk 网络,将 Tile 纳入其中。这意味着 Ring 摄像头和 Echo 设备可以充当中继,获取 Tile 跟踪器和运行 Tile 应用程序的手机的位置。
人行道据报道,全球约有 8800 万台 Tile 追踪器在使用,但研究人员报告称,Tile 追踪器并不像他们希望的那么安全。研究人员发现的主要问题是跟踪器广播未加密的静态 MAC 地址和唯一 ID。为了让用户找到钱包或丢失的物品,跟踪器附近的其他蓝牙设备或射频天线可以接收这些信号来跟踪跟踪器的移动。
据报道你可能会想,这就是重点。但让我澄清一下这种方法有什么问题。
其他跟踪器不会广播其实际 MAC 地址。相反,他们会根据它发送一个临时 ID,这使得长期跟踪变得更加困难。 Tile 的做法有所不同:虽然它轮换唯一 ID,但它仍然传输相同的 MAC 地址。研究人员还发现旋转 ID 生成很弱,可以进行连续跟踪。
然后,接收器将跟踪器的位置、MAC 地址和唯一 ID 发送到服务器而不加密。研究人员认为,服务器以明文形式存储这些信息,这意味着 Life360 可以持续监控跟踪器及其安装了该应用程序的所有者的位置。
正如一位研究人员在警告危险时所说的那样:
“攻击者只需要从设备记录一条消息......就可以在其余下的生命周期中对其进行指纹识别。”违规 凸起
使用 Tile,应用程序不会在后台扫描 - 用户必须手动启动扫描。即便如此,它也只有在用户持续移动 10 分钟时才有效。
声明