Alvorlige sikkerhedshuller i Tile-trackere

Forskere fra Georgia Institute of Technology har ifølge Wired identificeret kritiske sikkerhedsbrister i Tile’s sporingsprotokol, der gør det muligt for enhver med grundlæggende teknisk viden at opfange og analysere data fra trackerne. Problemet rammer kernen i Tile’s design: En statisk MAC-adresse, der aldrig ændres, kombineret med ukrypterede Bluetooth-signaler.

En enkelt sporing giver permanent adgang

Tile-enhederne sender løbende en ukrypteret ID og MAC-adresse, som enhver Bluetooth-enhed eller RF-antenne i nærheden kan opfange. Mens konkurrenter som Apple AirTag og Samsung SmartTag løbende roterer deres MAC-adresser for at forhindre sporing, forbliver Tile’s MAC-adresse den samme gennem hele produktets levetid.

Konsekvensen er til at tage og føle på – en angriber skal blot opfange én enkelt transmission for permanent at kunne identificere din tracker. Derefter kan vedkommende følge dine bevægelser, så længe trackeren er i brug. Tile’s forsøg på at beskytte privatlivet ved at rotere det unikke ID er reelt meningsløst, når MAC-adressen afslører identiteten.

Forudsigelige ID’er og manglende kryptering

Selv Tile’s roterende ID’er udgør et sikkerhedsproblem. Forskerne har påvist, at koderne er forudsigelige, hvilket betyder, at fremtidige ID’er kan udledes fra tidligere transmissioner. Sporingen kan dermed fortsætte, selv hvis trackeren skifter identifikation.

Et yderligere problem er, at ID’er og MAC-adresser sendes til Tile’s servere i et læsbart format. Dette giver potentielt Life360 eller personer med intern adgang mulighed for at spore en tracker og dens ejer. Adgangen kunne også bruges til at deaktivere trackernes anti-stalking-funktion, som skal advare brugere, hvis en ukendt enhed følger dem.

Anti-tyveri-funktion hjælper stalkere

Tile’s Anti-Tyveri-tilstand forværrer problemet. Funktionen gør trackeren usynlig for Tile’s egen “Scan and Secure”-scanning, der skulle hjælpe brugere med at opdage ukendte trackere. Mens en stalker stadig kan se trackerens position via Life360-netværket, forbliver offeret uvidende om sporingen.

Life360 blev gjort opmærksom på sårbarhederne i november, men stoppede dialogen med forskerne i februar. Da techmediet Wired henvendte sig til virksomheden, oplyste en talsperson, at der var blevet rullet opdateringer ud. Life360 har dog ikke bekræftet, om de grundlæggende problemer – den statiske MAC-adresse og den manglende kryptering – er blevet løst.