Los investigadores han descubierto defectos importantes de seguridad de mosaicos que podrían permitir que la empresa misma y un guardián en tecnología sigan su ubicación. Estos surgen de dos diferencias cruciales entre la seguridad utilizada para las etiquetas de Arage y Tile.
El defecto podría incluso usarse para permitir que un actor malicioso supervise falsamente a un propietario de mosaico para su acoso, lo que demuestra que una de sus etiquetas de mosaico está constantemente cerca de la etiqueta de otra persona …
Los aviones y las etiquetas de azulejos funcionan principalmente de la misma manera, utilizando Bluetooth para difundir su identidad con los teléfonos inteligentes cercanos. Los dos también giran el código de identificación utilizado cada 15 minutos para que no se pueda vincular permanentemente a una etiqueta específica.
En el caso de Airtags, solo el código de identificación rotativo nunca es distribuido por la etiqueta, y todas las transmisiones están encriptadas.
Sin embargo, los investigadores de seguridad han encontrado que las etiquetas de los mosaicos transmiten no solo la ID giratoria sino también su dirección MAC estática, y que ninguno está encriptado. Esto representa una gran vulnerabilidad de seguridad.
Defectos de seguridad de azulejos
Cable Los informes según los cuales Akshaya Kumar, Anna Raymaker y Michael Spectre del Instituto de Tecnología de Georgia revelaron que la dirección MAC se transmitía junto con ID. A diferencia de la ID, las direcciones MAC de los mosaicos nunca cambian.
La ubicación de un faro, su dirección MAC y su identificador único también se envían sin insistir a los servidores de mosaicos, donde los investigadores piensan que esta información se almacena en ClearText, dando a los mosaicos la posibilidad de seguir la ubicación de las etiquetas y sus propietarios, incluso si la compañía afirma que no tiene esta capacidad.
Además, cualquier persona con un escáner de radiofrecuencia puede interceptar toda esta información cuando se transmite.
Peor aún, el problema no se resolvería si los mosaicos dejaran de transmitir la dirección MAC. De hecho, la forma en que la compañía genera la ID rotativa no es segura y que los códigos futuros se pueden predecir de manera confiable a los anteriores, incluso desde una sola identificación.
«Un atacante solo necesita grabar un mensaje del dispositivo … en la huella digital para el resto de su vida útil», explica Kumar, quien dice que esto crea un riesgo de vigilancia sistémica para cualquier persona cuya etiqueta se tome en un escaneo.
El mosaico tiene una protección similar a la aeronave en términos de permitirle ver si la etiqueta de otra persona está oculta en sus productos o en su vehículo. Sin embargo, existe una gran vulnerabilidad en la implementación de mosaicos.
Cuando un propietario de la etiqueta permite que los anti -los fteft hagan su etiqueta invisible para los ladrones potenciales, estas balizas tampoco serán visibles para alguien que realice un escaneo para determinar si se rastrean con una etiqueta de matón. Esto significa que un acosador podría ocultar su etiqueta de acoso poniéndola en modo anti -theft.
Finalmente, un mal actor podría incluso supervisarte como acosador.
Utilizando una antena de radiofrecuencia para recolectar transmisiones desaceleradas de la etiqueta de otro usuario, un atacante puede extraer la dirección MAC y la ID única de estas emisiones y transmitir esto en otro lugar. Si un usuario realiza un análisis antigroyección en este lugar, vería esta dirección MAC y esta identificación única en el análisis, y esta información y la ubicación de dónde fueron escaneados se enviarían al servidor de mosaicos, lo que causó la impresión de que esta etiqueta estaba cerca de la persona que había hecho el análisis. No hay forma de determinar, los investigadores dicen que si una dirección MAC y un documento de identidad único han sido emitidos por un dispositivo de mosaico legítimo o una persona maliciosa que reproduce esta información.
Los investigadores de seguridad siguieron las mejores prácticas al informar sus resultados a la empresa matriz Life360 en noviembre desde el año pasado. Sin embargo, la compañía ha detenido las comunicaciones en febrero de este año.
La compañía dijo Cable que había realizado un cierto número de mejoras en su seguridad, pero no especificó si abordaban los problemas identificados.
Accesorios resaltados
Imagen: Life360 Foto en el fondo por Ajeng Coleendyah seguro Desactivar
