Forskere fra Georgia Institute of Technology har ifølge Wired identifisert kritiske sikkerhetshull i Tiles sporingsprotokoll, som gjør det mulig for enhver med grunnleggende teknisk kunnskap å fange opp og analysere data fra trackerne. Problemet rammer kjernen i Tiles design: en statisk MAC-adresse som aldri endres, kombinert med ukrypterte Bluetooth-signaler.
Én enkelt sporing gir permanent tilgang.
Tile-enhetene sender kontinuerlig et ukryptert ID og en MAC-adresse, som enhver Bluetooth-enhet eller RF-antenne i nærheten kan fange opp. Mens konkurrenter som Apple AirTag og Samsung SmartTag løpende roterer sine MAC-adresser for å forhindre sporing, forblir Tiles MAC-adresse den samme gjennom hele produktets levetid.
Konsekvensene er alvorlige: En angriper trenger bare å fange opp én enkelt sending for permanent å kunne identifisere trackeren din. Deretter kan vedkommende følge bevegelsene dine så lenge trackeren er i bruk. Tiles forsøk på å beskytte personvernet ved å rotere det unike ID-et er i praksis meningsløst når MAC-adressen likevel avslører identiteten.

Forutsigbare ID-er og manglende kryptering
Selv Tiles roterende ID-er utgjør et sikkerhetsproblem. Forskerne har påvist at kodene er forutsigbare, noe som betyr at fremtidige ID-er kan utledes fra tidligere sendinger. Sporingen kan dermed fortsette, selv om trackeren skifter identitet.
Et ytterligere problem er at ID-er og MAC-adresser sendes til Tiles servere i et lesbart format. Dette gir potensielt Life360 eller personer med intern tilgang mulighet til å spore en tracker og dens eier. Tilgangen kan også brukes til å deaktivere trackerens anti-stalking-funksjon, som skal varsle brukere hvis en ukjent enhet følger dem.
Anti-tyverifunksjon hjelper stalkere
Tiles anti-tyveri-modus forverrer problemet. Funksjonen gjør trackeren usynlig for Tiles egen «Scan and Secure»-skanning, som skulle hjelpe brukere med å oppdage ukjente trackere. Mens en stalker fortsatt kan se trackerens posisjon via Life360-nettverket, forblir offeret uvitende om sporing.
Life360 ble gjort oppmerksom på sårbarhetene i november, men avsluttet dialogen med forskerne i februar. Da tech-mediet Wired kontaktet selskapet, opplyste en talsperson at det hadde blitt rullet ut oppdateringer. Life360 har imidlertid ikke bekreftet om de grunnleggende problemene – den statiske MAC-adressen og manglende kryptering – er blitt løst.
Les videre med LB+
Full tilgang 1 uke uten bindingstid!
Tilgang til ALT innhold i 1 UKE!
LB+ Total tilbud - Første mnd KUN 79,-
Tilgang til ALT LB+ innhold
LB+ total 12 måneder
Tilgang til ALT innhold i 12 måneder
- Tilgang til mer enn 7800 produkttester!
- Store rabatter hos våre samarbeidspartnere i LB+ Fordelsklubb
- Ukentlige nyhetsbrev med siste nytt
- L&B TechCast – en podcast av L&B
- Magsinet digitalt – ny utgave hver måned
- Deaktiver annonser
- L&B+ Video – bli med L&B redaksjonen behind the scenes, på de store tech-messene og mye mer!