Forskere fra Georgia Institute of Technology har ifølge Wired identifisert kritiske sikkerhetshull i Tiles sporingsprotokoll, som gjør det mulig for enhver med grunnleggende teknisk kunnskap å fange opp og analysere data fra trackerne. Problemet rammer kjernen i Tiles design: en statisk MAC-adresse som aldri endres, kombinert med ukrypterte Bluetooth-signaler.
Én enkelt sporing gir permanent tilgang.
Tile-enhetene sender kontinuerlig et ukryptert ID og en MAC-adresse, som enhver Bluetooth-enhet eller RF-antenne i nærheten kan fange opp. Mens konkurrenter som Apple AirTag og Samsung SmartTag løpende roterer sine MAC-adresser for å forhindre sporing, forblir Tiles MAC-adresse den samme gjennom hele produktets levetid.
Konsekvensene er alvorlige: En angriper trenger bare å fange opp én enkelt sending for permanent å kunne identifisere trackeren din. Deretter kan vedkommende følge bevegelsene dine så lenge trackeren er i bruk. Tiles forsøk på å beskytte personvernet ved å rotere det unike ID-et er i praksis meningsløst når MAC-adressen likevel avslører identiteten.
Forutsigbare ID-er og manglende kryptering
Selv Tiles roterende ID-er utgjør et sikkerhetsproblem. Forskerne har påvist at kodene er forutsigbare, noe som betyr at fremtidige ID-er kan utledes fra tidligere sendinger. Sporingen kan dermed fortsette, selv om trackeren skifter identitet.
Et ytterligere problem er at ID-er og MAC-adresser sendes til Tiles servere i et lesbart format. Dette gir potensielt Life360 eller personer med intern tilgang mulighet til å spore en tracker og dens eier. Tilgangen kan også brukes til å deaktivere trackerens anti-stalking-funksjon, som skal varsle brukere hvis en ukjent enhet følger dem.
Anti-tyverifunksjon hjelper stalkere
Tiles anti-tyveri-modus forverrer problemet. Funksjonen gjør trackeren usynlig for Tiles egen «Scan and Secure»-skanning, som skulle hjelpe brukere med å oppdage ukjente trackere. Mens en stalker fortsatt kan se trackerens posisjon via Life360-nettverket, forblir offeret uvitende om sporing.
Life360 ble gjort oppmerksom på sårbarhetene i november, men avsluttet dialogen med forskerne i februar. Da tech-mediet Wired kontaktet selskapet, opplyste en talsperson at det hadde blitt rullet ut oppdateringer. Life360 har imidlertid ikke bekreftet om de grunnleggende problemene – den statiske MAC-adressen og manglende kryptering – er blitt løst.