Türkiye'de yaygın olarak kullanılan Bluetooth tabanlı konum takip cihazlarında önemli bir güvenlik açığı keşfedildi. Yapılan araştırmalar, bu cihazların sahiplerinin izlenmesine olanak tanıyabilecek tasarım kusurları barındırdığını ortaya koyuyor.
Önde gelen teknoloji üniversitelerinden araştırmacılar tarafından yapılan incelemelerde, özellikle Tile marka takip cihazlarının hem bireysel olarak hem de cihazların iletişim kurduğu altyapıdaki güvenlik açıklarına dikkat çekildi. Araştırmacılar, her bir cihazın şifrelenmemiş bir MAC adresi ve benzersiz bir kimlik bilgisi yaydığını tespit etti. Bu bilgiler, yakındaki diğer Bluetooth cihazları veya radyo frekansı antenleri aracılığıyla kolayca alınarak cihazın ve sahibinin hareketlerini takip etmek için kullanılabilir.
Bu tür bilgilerin toplanması, günümüzde oldukça yaygınlaşmış durumda. Örneğin, bazı perakende mağazalarının Bluetooth vericileri aracılığıyla müşterilerin mağaza içindeki hareketlerini izlediği daha önce de gündeme gelmişti. Benzer şekilde, bu tür bilgileri yakalayan cihazlar (sniffers) bireysel kullanıcılar tarafından da kolayca temin edilebiliyor ve hatta akıllı ev sistemlerinde bile karşımıza çıkabiliyor.
Tile'ın, geçmişte yaşanan olumsuz olaylar üzerine 2023 yılında cihazlarına eklediği güvenlik önlemleri de bu durumu engellemekte yetersiz kalıyor. Şirketin, cihazların kötü niyetli kişilerce kullanılmasına karşı getirdiği korumalar, esasen bir takip cihazının sahibinden habersiz olarak başka birinin çantasına yerleştirilmesi gibi senaryoları zorlaştırmaya yönelik. Ancak, araştırmacılar tarafından ortaya konulan bu yeni güvenlik açığı, cihazın sahibiyle iletişim halindeyken bile şüpheli bir Bluetooth cihazıyla veri alışverişi yapıp yapmadığını belirleyemiyor.
Sorun bununla da sınırlı kalmıyor. Araştırmacılara göre, bir takip cihazının konumu, MAC adresi ve benzersiz kimlik bilgileri, şifrelenmeden doğrudan cihazın sunucularına gönderiliyor. Bu verilerin açık metin olarak saklandığı düşünülüyor. Bu durum, şirketin böyle bir yeteneği olmadığını iddia etmesine rağmen, aslında hem cihazların hem de sahiplerinin konumlarını takip etme imkanı sunuyor.
Bu verilerin şifrelenmemesi, sadece mevcut durumu değil, gelecekte de olası riskleri beraberinde getiriyor. Şirketin sahibi Life360, siber suçlular veya hatta devlet kurumları tarafından bu geçmiş verilerin kötüye kullanılma ihtimali bulunuyor. Bu nedenle, bu bilgilerin uçtan uca şifrelenmesi, hem günümüz hem de gelecek için daha güvenli bir ortam sağlayacaktır.
