Alvorlige sikkerhetshull i Tile-trackere

Har du en Tile-tracker på nøkkelknippet eller i vesken? Da kan uvedkommende potensielt følge bevegelsene dine uten at du vet det. Amerikanske forskere har oppdaget fundamentale designfeil i Life360s populære Bluetooth-trackere.

Alvorlige sikkerhetshull i Tile-trackere 1

(Foto: Tile)

Forskere fra Georgia Institute of Technology har ifølge Wired identifisert kritiske sikkerhetshull i Tiles sporingsprotokoll, som gjør det mulig for enhver med grunnleggende teknisk kunnskap å fange opp og analysere data fra trackerne. Problemet rammer kjernen i Tiles design: en statisk MAC-adresse som aldri endres, kombinert med ukrypterte Bluetooth-signaler.

Les også TEST: Tile Mate Det er både fordeler og ulemper ved å velge den opprinnelige markedslederen.

Én enkelt sporing gir permanent tilgang.

Tile-enhetene sender kontinuerlig et ukryptert ID og en MAC-adresse, som enhver Bluetooth-enhet eller RF-antenne i nærheten kan fange opp. Mens konkurrenter som Apple AirTag og Samsung SmartTag løpende roterer sine MAC-adresser for å forhindre sporing, forblir Tiles MAC-adresse den samme gjennom hele produktets levetid.

Konsekvensene er alvorlige: En angriper trenger bare å fange opp én enkelt sending for permanent å kunne identifisere trackeren din. Deretter kan vedkommende følge bevegelsene dine så lenge trackeren er i bruk. Tiles forsøk på å beskytte personvernet ved å rotere det unike ID-et er i praksis meningsløst når MAC-adressen likevel avslører identiteten.

(Foto: Tile)

Forutsigbare ID-er og manglende kryptering

Selv Tiles roterende ID-er utgjør et sikkerhetsproblem. Forskerne har påvist at kodene er forutsigbare, noe som betyr at fremtidige ID-er kan utledes fra tidligere sendinger. Sporingen kan dermed fortsette, selv om trackeren skifter identitet.

Et ytterligere problem er at ID-er og MAC-adresser sendes til Tiles servere i et lesbart format. Dette gir potensielt Life360 eller personer med intern tilgang mulighet til å spore en tracker og dens eier. Tilgangen kan også brukes til å deaktivere trackerens anti-stalking-funksjon, som skal varsle brukere hvis en ukjent enhet følger dem.

Les også Nyhet: Nå kan du feste en Tile-sporer på kattens halsbånd Skulle du gjerne ha holdt styr på katten slik du gjør med nøklene? Da er Tile Cats noe for deg.

Anti-tyverifunksjon hjelper stalkere

Tiles anti-tyveri-modus forverrer problemet. Funksjonen gjør trackeren usynlig for Tiles egen «Scan and Secure»-skanning, som skulle hjelpe brukere med å oppdage ukjente trackere. Mens en stalker fortsatt kan se trackerens posisjon via Life360-nettverket, forblir offeret uvitende om sporing.

Life360 ble gjort oppmerksom på sårbarhetene i november, men avsluttet dialogen med forskerne i februar. Da tech-mediet Wired kontaktet selskapet, opplyste en talsperson at det hadde blitt rullet ut oppdateringer. Life360 har imidlertid ikke bekreftet om de grunnleggende problemene – den statiske MAC-adressen og manglende kryptering – er blitt løst.

Les videre
Exit mobile version