Нательные камеры и служебные электрошокеры Axon с включённым Bluetooth выдают реальное местоположение владельца

Нательные камеры и служебные электрошокеры Axon с включённым Bluetooth способны выдавать геолокацию владельца в режиме реального времени. Подобная уязвимость позволяет отслеживать реальное местоположение тысяч австралийских полицейских через приложение для смартфона или ноутбука, сообщил ^[1] местный телеканал ABC.

Устройства с поддержкой Bluetooth имеют MAC-адрес. Большинство мобильных телефонов, включая iPhone, используют встроенные функции защиты конфиденциальности, которые рандомизируют этот код и затрудняют отслеживание устройства. Однако американская Axon не развернула подобные методы защиты для своей продукции.

В беседе с ABC хакер рассказал, что просто регистрировал данные с Bluetooth-устройств на своём и телефоне и увидел в логах записи о нательных камерах и электрошокерах. По его мнению, ситуация связана с некомпетентностью или ленью инженеров американского производителя.

Пожелавший сохранить анонимность исследователь разработал экспериментальное программное обеспечение, которое позволило определять местоположение и отслеживать сотрудников полиции по фиксированному MAC-адресу, присвоенному любому устройству Axon с поддержкой Bluetooth. Отслеживание полицейских возможно с довольно значительного расстояния.

В прошлом году сотрудникам пограничной службы США приказали прекратить использование видеокамер Axon в полевых условиях после выявления потенциальных угроз безопасности. Американские власти начали расследование.

Съёмочная группа программы Four Corners встретилась с хакером в Мельбурне. Он скачал одно из нескольких общедоступных приложений из Google Play. При обнаружении сотрудника полиции приложение присылало уведомление с координатами, моделью и серийным номером Bluetooth-устройства. Даже когда полицейские пропадали из поля зрения ^[2] съёмочной группы, приложение продолжало оповещать хакера об их местоположении.

Собственное ПО хакера может работать на расстоянии до 400 м. В недобросовестных руках эту систему можно расширить при помощи десятков небольших и дешёвых Bluetooth-сканеров, которые будут отслеживать устройства полиции на карте в реальном времени. Это можно использовать для нападений на сотрудников полиции и ухода от преследования, уточнил собеседник ABC.

Мужчина уведомляет полицию об этой уязвимости с 2024 года, призывая отказаться от использования оборудования Axon. Однако хакер так и не получил ответа от местных правоохранителей.

В разговоре c Four Corners полиция штата Виктория сообщила о получении электронного письма от хакера и проведении внутренней оценке угрозы. Если сначала правоохранители сочли риск реальным, то после беседы с Axon они посчитали это несущественной проблемой. Производитель оборудования также не выявил «проблем подобного характера».

Исследователь считает, что компания не устраняет проблему, поскольку уязвимость связана с аппаратной частью. Axon пришлось бы перепроектировать всю систему с нуля, а отзыв устройств привёл бы крупным финансовым издержкам.

В Австралии полицейские используют электрошокеры моделей T7 и T10. Axon поставляет свои электрошокеры 18 тыс. полицейских страны. Также она выступает крупнейшим поставщиком нательных видеокамер в США. Кроме того, компания с капитализацией в $32 млрд предлагает инструменты искусственного интеллекта ^[3], дроны, лицензии на программное обеспечение и облачное хранилище для правоохранительных органов.

Правительство Австралии заключило контракты с Axon на сотни миллионов долларов.