Bluetooth-spårare från Tile är osäkra

Tile har blivit ett populärt alternativ för att hitta borttappade nycklar, väskor eller till och med husdjur. Men nu varnar forskare vid Georgia Institute of Technology för att bristerna i Tile-taggar kan göra dem till ett verktyg för teknikkunniga stalkers – eller till och med möjliggöra massövervakning.

Viktigt att veta

• Tile används av över 88 miljoner människor världen över.
• Forskarna fann att data skickas okrypterat, vilket gör att både stalkers och Tile självt i teorin kan följa användare.
• Funktionen Scan and Secure måste startas manuellt och kan lätt kringgås om en tagg är satt i anti-theft-läge.
• Konkurrenter som Apple AirTag använder end-to-end-kryptering och roterande ID som inte kan kopplas till en statisk enhet.
• Life360 säger att man gjort förbättringar men har inte redovisat några detaljer.

Forskarna Akshaya Kumar, Anna Raymaker och Michael Specter har analyserat Tile Mate, bolagets mest sålda spårningsbricka, och upptäckt att den skickar data på ett oskyddat sätt. Varje tag sänder både sitt MAC-adress och en unik ID-kod helt okrypterat. Dessa kan enkelt snappas upp av en mobiltelefon, en radiomottagare eller andra enheter i närheten.

Problemet är dubbelt:

1. Eftersom MAC-adressen är statisk går det att följa en specifik tag över lång tid, även när ID:t roterar.
2. Informationen skickas även okrypterad till Tiles servrar, vilket enligt forskarna innebär att företaget själv i praktiken skulle kunna kartlägga användares rörelsemönster – något Tile i sin policy förnekar.

Stalkers och falska anklagelser

Forskarna varnar också för att Tile-taggar kan missbrukas på flera sätt:

• Stalkers kan gömma en tag i en bil, väska eller jacka och sedan använda nätverket av andra Tile-användare, samt Amazon Sidewalk-enheter som Ring och Echo, för att lokalisera offret.
• Falska anklagelser kan uppstå genom så kallade replay-attacker: en angripare kan spela in ett tags sändningar och sedan sända ut dem på en annan plats, vilket kan få det att se ut som att en helt oskyldig person stalkar någon.

Bristfälligt skydd mot olovlig spårning

Apple, Google och Samsung har infört skydd mot olovlig spårning som skannar kontinuerligt och varnar om en främmande tag följer med dig. Tiles motsvarighet – ”Scan and Secure” – fungerar däremot bara när den aktiveras manuellt och gäller i tio minuter åt gången.

Dessutom undermineras skyddet av en särskild anti-theft-funktion. Om en Tile-ägare aktiverar den blir taggen osynlig för Scan and Secure – vilket innebär att en stalker kan dölja sin tag för den som försöker upptäcka den. Tile kräver visserligen ID-verifiering och hotar med miljonböter vid missbruk, men forskarna ifrågasätter både genomförbarheten och effektiviteten.

Oklart svar från företaget

Forskarna rapporterade problemen till Tile-ägaren Life360 redan i november, men kommunikationen ska ha upphört i februari. När WIRED senare frågade om en kommentar svarade företaget endast att man gjort ”ett antal förbättringar”, utan att specificera vilka.

Det finns alltså inga garantier att just din Tile-bricka är skyddad mot olovlig spårning. Utan tydligare bekräftelse på att sårbarheterna som upptäckts faktiskt är lösta kan det vara en god idé att sluta använda spårningsbrickorna av säkerhets- och integritetsskäl.

Att okrypterad data skickas till servrarna är oförsvarbart oavsett vad tillverkaren säger. Med okrypterad data kan i princip vem som helst se informationen och tolka den, vilket sätter användarna i ett mycket obekvämt läge.

FAQ