Soweit ich das von Google gelesen habe, soll es E2E verschlüsselt sein. Das würde vermutlich bedeuten, dass das Gerät, das den Tracker findet, den öffentlichen Schlüssel von ihm extrahiert, die Standort Daten sowieso Zeitpunkte verschlüsselt an Google sendet.
Laut Google sollte der eigene private Schlüssel des Netzwerks/Trackers mit den Google credentials verschlüsselt sein.
Wie die magic dann im Web funktioniert, keine Ahnung. Vielleicht wird irgendwie lokal im Browser entschlüsselt.
Ich finde es aber auch immer schade, dass die Prozesse für DAUs beschrieben werden und die Details, die eigentlich relevant sind, um die Sicherheit für sich selbst zu bewerten ansonsten intransparent sind.
