Il sistema di tracciamento Bluetooth Tile, utilizzato da oltre 88 milioni di persone in tutto il mondo, sta affrontando gravi preoccupazioni relative alla privacy dopo che alcuni ricercatori hanno scoperto significative vulnerabilità nella sua tecnologia. Secondo un report di Wired, gli studiosi della Georgia Tech hanno rilevato che i tracker Tile possono essere facilmente monitorati da chiunque. Questa mancanza di sicurezza rappresenta un problema così enorme da trasformare l’intera rete dell’azienda in un sistema di sorveglianza globale.
Una vulnerabilità sorprendente
La crittografia è fondamentale, ma i tracker Tile non la utilizzano
Ogni tag Tile trasmette ripetutamente due informazioni via Bluetooth: un ID unico che ruota periodicamente e l’indirizzo MAC del tag, che rimane invariato. Poiché l’indirizzo MAC non cambia e i dati vengono inviati in chiaro, chiunque con uno smartphone o un’antenna RF può raccogliere queste informazioni e monitorare i movimenti del tag indefinitamente. Inoltre, poiché Tile memorizza questi dati senza crittografia sui propri server, l’azienda potrebbe teoricamente tracciare gli utenti in tempo reale, contrariamente alle sue affermazioni.
Aziende concorrenti come Apple, Google e Samsung hanno già risolto questo problema implementando la crittografia delle trasmissioni dei tag e cambiando gli identificativi affinché non possano essere facilmente associati a una singola persona. La scelta di Tile di non adottare tali misure è incomprensibile. Come sottolineato dal ricercatore Akshaya Kumar a Wired: “Un attaccante ha bisogno solo di registrare un messaggio dal dispositivo per identificarlo per tutta la sua vita.”
Per aggravare ulteriormente la situazione, le protezioni anti-stalking di Tile (già più deboli rispetto ai concorrenti poiché richiedono scansioni manuali della durata massima di dieci minuti) possono essere completamente eluse se un molestatore attiva la modalità “anti-furto”. Questa funzione rende invisibili i tag ai ladri ma anche alle vittime che cercano di rilevare tracker indesiderati.
I ricercatori hanno persino dimostrato una “replay attack”, dove qualcuno potrebbe raccogliere le trasmissioni da un altro utente Tile e rilanciarle altrove, incriminando quella persona per stalking.
Mancanza di risposte da Life360
Life360, la società madre di Tile, non ha fornito dettagli sulle correzioni implementate dopo che i ricercatori hanno reso note le scoperte lo scorso novembre. L’unico commento pubblico è stato che sono state “effettuate diverse migliorie”, senza ulteriori chiarimenti.
Per un prodotto progettato per mantenere il collegamento con gli oggetti personali, questo livello di dati tracciabili senza crittografia rappresenta un clamoroso fallimento della sicurezza. Fino a quando Tile non adotterà misure adeguate come la crittografia delle trasmissioni e una revisione delle funzionalità anti-stalking, gli utenti potrebbero esporsi a rischi ogni volta che agganciano un tag Tile alle proprie chiavi o collari degli animali domestici.
- Tile – Tracker Bluetooth
- Akshaya Kumar – Ricercatore
- Life360 – Azienda madre di Tile
- Apple – Concorrente nel settore dei tracker
- Google – Concorrente nel settore dei tracker
- Samsung – Concorrente nel settore dei tracker
Lascia un commento