Georgia Teknoloji Enstitüsü’ndeki araştırmacılar, popüler karo izleyicinin güvenliğini incelediler ve hayal kırıklığına uğradı.
Bluetooth izleyicileri sürekli büyüyen bir pazar ve Life360 büyük oyunculardan biri. 2021’de Amazon, kaldırım ağını karo içerecek şekilde genişletti. Bu, halka kameraların ve yankı cihazlarının röle görevi görebileceği ve karo uygulamasını çalıştıran karo izleyicilerinin ve telefonların yerini alabileceği anlamına gelir.
Bildirildiğine göre, dünya çapında yaklaşık 88 milyon karo izleyici kullanımda, ancak beklediğimiz kadar güvenli değiller. Araştırmacıların bulduğu en büyük sorun, izleyicilerin şifrelenmemiş, statik bir MAC adresi ve benzersiz kimlik yayınlamasıdır. Kullanıcıların cüzdanlarını veya kayıp eşyalarını bulmalarına izin vermek için, bir izleyicinin çevresindeki diğer Bluetooth cihazları veya radyo frekansı antenleri, izleyicinin hareketlerini takip etmek için bu sinyalleri alabilir.
Bütün mesele bu, düşünürsün. Ama bu yöntemin neyin yanlış olduğunu açıklığa kavuşturayım. Diğer izleyiciler gerçek MAC adreslerini yayınlamaz. Bunun yerine, uzun vadeli izlemeyi zorlaştıran geçici bir kimlik gönderirler. Fayans işleri farklı yapar: benzersiz kimliği döndürürken, yine de aynı MAC adresini iletir. Araştırmacılar ayrıca, Tile’nin dönen kimliğini oluşturma şeklinin birisinin sürekli olarak bir cihazı izlemesini engelleyecek kadar güçlü olmadığını buldular.
Daha da kötüleşiyor. Alıcı daha sonra etiketin konumunu, MAC adresini ve benzersiz kimliğini şifrelemeden bir sunucuya gönderir. Araştırmacılar, sunucunun bu bilgileri temiz metin içinde sakladığına inanıyor. Bu doğruysa, Life360, şirketin bu özelliğe sahip olmadığı iddiasına rağmen, uygulamayı yüklü izleyicilerin ve sahiplerinin konumunu sürekli olarak izleyebilir.
Araştırmacılardan birinin tehlikeler hakkında uyarı yaparken söylediği gibi:
“Bir saldırganın sadece cihazdan bir mesaj kaydetmesi gerekiyor… hayatının geri kalanında parmak izi.”
Bu, bir ihlal durumunda veya izleyiciniz bir kitle taramasına yakalanırsa büyük bir sorun oluşturabilir. Diğer izleyici sistemlerinde, bir etiketin konumu hakkındaki bilgiler yalnızca kullanıcının telefonunda bulunan bir anahtar kullanarak şifre çözülür, böylece bu bilgileri yalnızca sahibi görebilir.
Fayans’ın Sabitlik Karşıtı özelliğine başka bir sorun. Bu izleyicilerle birlikte kişileri takip etme yeteneği konusunda endişeler ortaya çıktıktan sonra, çoğu üretici, kendilerine ait olmayan bir izleyici onları takip ediyorsa kullanıcıyı uyaran otomatik uyarılar ekledi.
Tile’nin sistemi daha zayıf. Uygulama arka planda taramıyor – kullanıcılar taramayı manuel olarak başlatmalıdır. O zaman bile, yalnızca kullanıcı 10 dakika boyunca hareket etmeye devam ederse çalışır.
Bu davranış, Tile’nin sunduğu bir özellikten kaynaklanıyor ve diğeri: hırsızlık önleme modu. Fayans kullanıcıları izleyicilerini başkaları için görünmez hale getirme yeteneğine sahiptir, bu yüzden hırsızlar, çevrede bir karo olan herhangi bir öğe olup olmadığını görmek için bir alanı tarayamazlar.
Ancak takipçiler aynı özelliği kötüye kullanabilir. Kurbanın taraması onu tespit etmezken hala etiketin konumunu görürlerdi ve onları haydut bir cihazdan habersiz bıraktı.
Hırsızlık önleme modunu etkinleştirmek için, karo, devlet tarafından verilen bir kimlik, kullanıcının canlı bir fotoğrafı ve takip etmekten hüküm giymişse 1 milyon dolar para cezasına çarptırılır. Bu bazı istismarcıları caydırabilse de, araştırmacılar cezanın uygulanabilir olup olmadığının net olmadığını belirtiyor.
Araştırmacılar, fayans izleyicileriyle buldukları sorunların çoğunun yayınladığı sinyalleri şifreleyerek çözülebileceği sonucuna vardılar ve şirketin neden rakiplerinin örneğini takip etmediğini anlamıyorlar.
Bu olabileceğinden daha kolay geliyor. Şubat 2025’te araştırmacılar, ‘Bul’ ağında nroottag güvenlik açığını kullanarak herhangi bir Bluetooth cihazını izlemenin bir yolunu buldular. Apple’ın kısmi bir düzeltmesi var, ancak tam koruma yıllar alabilir. Bu, (neredeyse) çizikten yeniden tasarımın uzun ve maliyetli bir süreç olabileceğini gösterir.
Life360, araştırmacılar bulguları açıkladıktan sonra yapılan düzeltmeleri söylemedi. Tek kamuya açık ifadesi, herhangi bir ayrıntı sunmadan “bir dizi iyileştirme” yapmış olmasıydı.
Fayans ve diğer izleyiciler arasındaki ana farklılıkları bulmanıza yardımcı olmak için bu genel görünümü oluşturduk.
| Özellikler | Fayans | Diğerleri |
| Statik MAC Adresi | Statik MAC adreslerini kullanır ve yakındaki herkes tarafından kalıcı izlemeyi etkinleştirir. | İzlemeyi önlemek için sık sık değişen dönen MAC adreslerini kullanır. |
| Veri iletimi | Bluetooth aracılığıyla şifrelenmemiş benzersiz kimlikler ve cihaz verileri yayınlar, bu da kolayca ele geçirilir. | Yakındaki cihazlarla şifrelenmiş iletişim kullanır, geçişteki verileri korur. |
| Veri depolama | Konum ve cihaz verilerini kendi sunucularında şifrelenmemiş olarak depolar, bu da ihlallere karşı savunmasız hale getirir. | Sunucular üzerinde şifrelenmiş verileri depolar, ihlallerden kaynaklanan riski azaltır. |
| İstenmeyen izleyicilerin tespiti | Kullanıcıların Fayans Uygulaması’nın taraması ve daha az sezgisel olan güvenli özelliği ile manuel olarak taramasını gerektirir. | Bilinmeyen izleyicilerin kullanıcılarını onlarla seyahat eden ve bunları devre dışı bırakmayı otomatik olarak uyarır. |
| Hırsızlık önleyici özellik | İzleyicileri algılama taramalarından gizleyen, ancak otomatik takip uyarılarını etkisiz hale getiren “hırsızlık önleme modu” sunar. | Eşdeğer özellik yok. |
Sadece gizlilik hakkında rapor vermiyoruz, aynı zamanda size kullanma seçeneği sunuyoruz.
Gizlilik riskleri asla bir başlığın ötesine yayılmamalıdır. Malwarebytes Gizlilik VPN kullanarak çevrimiçi gizliliğinizi saklayın.