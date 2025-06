Nel sempre più vasto ecosistema dei dispositivi di localizzazione Bluetooth, una vulnerabilità strutturale nei tracker compatibili con Google Find My Device (noto anche come Find Hub), la piattaforma che permette di trovare e gestire a distanza i propri hardware, solleva significative preoccupazioni. In un intervento apparso su Reddit, Chipolo, uno dei più famosi produttori di dispositivi simili agli AirTag per Android, ha confermato pubblicamente che tutti i tracker compatibili con la rete Google Find My Device, inclusi i propri, possono essere facilmente ripristinati e associati a un nuovo account da chiunque, senza alcun tipo di blocco o restrizione.

Nessun vincolo post-reset: il limite dei tracker Android

Nella sua nota, Chipolo indica che chiunque può effettuare un reset di fabbrica del tracker Android, azzerando completamente i dati dell’utente precedente, e associarlo immediatamente a un nuovo smartphone Android, senza alcun avviso al legittimo proprietario. “Non rimane alcuna informazione sul tag che possa collegarlo al precedente proprietario“, osserva ancora Chipolo.

L’assenza di un “pairing lock” (blocco accoppiamento) lascia spazio a possibili abusi, furti e appropriazioni indebite, e di fatto rende inutili le funzionalità come “Segna come smarrito” o lo stesso tracciamento in caso di perdita o furto del dispositivo.

Il confronto con gli Apple AirTag

Nel caso dei dispositivi che utilizzano il network Apple Find My (Dov’è, in italiano), il comportamento è radicalmente diverso. Anche dopo un reset di fabbrica, Apple mantiene un legame tra il tracker e l’account iCloud originario. Il meccanismo impedisce l’associazione del dispositivo con un altro account se non dopo la rimozione esplicita da parte del proprietario originale. In sostanza, il sistema Apple incorpora una forma di “activation lock” simile a quella già presente su iPhone e altri dispositivi.

Questa sicurezza è resa possibile grazie al fatto che Apple registra ogni tag con un identificatore univoco al momento della produzione, che rimane codificato nel dispositivo anche dopo il reset. Google, al contrario, cancella completamente ogni legame precedente, rendendo il tracker anonimo e riutilizzabile da chiunque.

Tracker ibridi: una doppia faccia della medaglia

Esistono anche tracker compatibili sia con Apple che con Google, come alcuni modelli di Chipolo. In questi casi, la protezione dipende dall’ecosistema in uso: se associati ad Apple, mantengono la sicurezza tipica di iOS; se usati su Android, sono soggetti al medesimo comportamento in fase di reset che contraddistingue tutti gli altri dispostivi della stessa categoria. Il problema non risiede nell’hardware, ma nell’implementazione del protocollo di gestione dei dispositivi da parte di Google, sostengono i ricercatori.

Al momento, gli utenti Android non dispongono di alcun mezzo per impedire che i propri tracker siano resettati e riutilizzati da terzi. Non esiste alcun sistema di notifica, avviso o blocco associativo lato Find My Device. L’unica speranza risiede in un aggiornamento del protocollo da parte di Google, in maniera tale che implementi un sistema simile all’“activation lock” di Apple. Purtroppo, ad oggi non c’è alcun annuncio ufficiale in tal senso.