Enligt Wired har forskare från Georgia Institute of Technology identifierat kritiska säkerhetsbrister i Tiles spårningsprotokoll som gör det möjligt för vem som helst med grundläggande tekniska kunskaper att inhämta och analysera data från spårarna. Problemet ligger i hjärtat av Tiles design: en statisk MAC-adress som aldrig ändras, i kombination med okrypterade Bluetooth-signaler.
En enda spårning ger permanent åtkomst
Tile-enheter sänder kontinuerligt en okrypterad ID- och MAC-adress som alla Bluetooth-enheter eller RF-antenner i närheten kan fånga upp. Medan konkurrenter som Apple AirTag och Samsung SmartTag kontinuerligt roterar sina MAC-adresser för att förhindra spårning, förblir Tiles MAC-adress densamma under produktens hela livslängd.
Konsekvensen är tydlig – en angripare behöver bara fånga upp en enda överföring för att permanent kunna identifiera din spårare. Angriparen kan sedan följa dina rörelser så länge spåraren används. Tiles försök att skydda integriteten genom att rotera det unika ID:t är i praktiken meningslöst när MAC-adressen avslöjar identiteten.
Förutsägbara ID:n och bristande kryptering
Även Tiles roterande ID:n utgör ett säkerhetsproblem. Forskare har visat att koderna är förutsägbara, vilket innebär att framtida ID:n kan härledas från tidigare överföringar. Spårningen kan därför fortsätta även om spåraren byter identifikation.
Ett ytterligare problem är att ID:n och MAC-adresserna skickas till Tiles servrar i ett läsbart format. Detta gör det potentiellt möjligt för Life360 eller personer med intern åtkomst att spåra en spårare och dess ägare. Åtkomsten kan också användas för att inaktivera spårarnas anti-stalking-funktion, som är utformad för att varna användare om en okänd enhet följer dem.
Stöldskyddsfunktionen hjälper stalkers
Tiles stöldskyddsläge förvärrar problemet. Funktionen gör trackern osynlig för Tiles egen ”Scan and Secure”-skanning, som är avsedd att hjälpa användare att upptäcka okända trackers. Medan en stalker fortfarande kan se spårarens position via Life360-nätverket, förblir offret omedvetet om spårningen.
Life360 blev medveten om sårbarheterna i november men slutade kommunicera med forskarna i februari. När teknikmediet Wired kontaktade företaget uppgav en talesperson att uppdateringar hade rullats ut. Life360 har dock inte bekräftat om de underliggande problemen – den statiska MAC-adressen och bristen på kryptering – har lösts.