A kutatók arra figyelmeztetnek, hogy a Tile nyomkövetÅ‘kben olyan biztonsági rések találhatók, amelyek komoly adatvédelmi kockázatot jelentenek. A készülékek Bluetooth segítségével sugározzák az azonosító kódjaikat a környezÅ‘ okostelefonoknak, és 15 percenként változtatják azt. Míg az Apple AirTag minden adatát titkosítva küldi, a Tile nemcsak a forgó azonosítót, hanem a statikus MAC-címet is titkosítatlanul sugározza. A MAC-cím soha nem változik, így egy egyszerű rádiófrekvenciás szkennerrel bárki azonosíthatja a nyomkövetÅ‘t, és a Tile szervereihez továbbított adatok vélhetÅ‘en titkosítás nélkül kerülnek tárolásra.
A kutatók rámutatnak, hogy a Tile által generált azonosítók jövÅ‘beli értékei kiszámíthatók a korábbi kódokból, így elég egyetlen üzenetet rögzíteni a készülék azonosításához a teljes élettartama alatt. Ez rendszer szintű megfigyelést tesz lehetÅ‘vé minden olyan felhasználó számára, akinek a nyomkövetÅ‘jét egy támadó rögzíti.
További problémát jelent az „anti-theft” mód: ha a tulajdonos ezt aktiválja, a készülék láthatatlanná válik a tolvajok számára, de ezzel együtt a felhasználók sem tudják ellenÅ‘rizni, hogy egy másik, rosszindulatú nyomkövetÅ‘ nem figyeli Å‘ket. Így egy stalker könnyen elrejtheti a készüléket, miközben az áldozat semmit sem észlel.
A szakértÅ‘k szerint egy támadó akár ártatlan személyt is hamisan vád alá helyezhet: egy másik eszköz adatainak rögzítésével és késÅ‘bbi sugárzásával úgy tűnhet, mintha a nyomkövetÅ‘ az áldozat közelében lett volna. Ez lehetÅ‘vé teszi, hogy egy felhasználót valótlanul „stalkerként” jelöljenek.
A kutatók 2024 novemberében jelezték a hibákat a Tile anyavállalatának, a Life360-nak, de a kommunikáció 2025 februárjában megszakadt. A cég azt állítja, több biztonsági fejlesztést hajtott végre, de nem részletezték, hogy ezek megoldották-e a feltárt problémákat.
