Investigadors de l'Institut Tecnològic de Geòrgia han publicat avenços respecte a importants fallades de seguretat en els rastrejadors Tile, una de les alternatives als AirTag d'Apple, a tal grau que l'empresa o qualsevol persona amb els elements necessaris pot rastrejar la ubicació sense cap problema. La fallada estaria relacionada també amb la protecció antiaassetjament. Que tan greu és?
Els rastrejadors Tile tenen un error de seguretat que podria comprometre la seguretat dels seus usuaris
Tant els AirTag com aquests rastrejadors que es fa menció utilitzen Bluetooth per poder transmetre la seva ubicació, el seu codi d'identificació va canviant cada 15 minuts perquè no quedi associat a una sola etiqueta. En el cas de l'AirTag, el codi d'identificació rotatori és transmès per l'etiqueta de manera encriptada.
L'error rau en el fet que les etiquetes de Tile transmeten l'adreça MAC estàtica, de tal manera que ni l'ID rotatori ni aquesta adreça està xifrada. Així com publica Wired, l'adreça i l'ID es transmeten en conjunt però amb la diferència que la MAC mai canvia. La persona que disposi d'un escàner de radiofreqüència podria intervenir la informació.
Interfície de l'app Tile amb el seu rastrejador
El problema no només envolta l'adreça MAC sinó que "el mètode que utilitza Tile per generar la ID rotativa no és segur". Els codis podrien ser predits prenent com a base una sola ID. Respecte a l'eina antiaassetjament, Tile també té una vulnerabilitat.
Quan el propietari d'una placa activa l'antirobatori perquè sigui invisible per a possibles lladres, aquestes plaques tampoc seran visibles per a qui faci un escaneig per determinar si està sent assetjat amb una placa falsa.
Una persona experimentada podria provocar un canvi en la informació que va del rastrejador a l'empresa Tile
L'error arriba a tal grau que, usant l'antena de radiofreqüència, un actor malèvol podria extreure l'adreça MAC i l'ID per transmetre'ls a una altra ubicació. L'usuari podria realitzar l'escaneig antiassetjament i veurà l'adreça MAC amb l'ID. La informació s'enviarà als servidors de Tile fent creure que l'etiqueta és a prop de la persona que va realitzar l'escaneig. Per la qual cosa no hi ha certesa si aquesta adreça amb ID és part d'un rastrejador Tile veritable o per aquest actor que ha reproduït la informació de manera errònia però que Tile la fa valer per bona.
Aquest localitzador és com un AirTag però molt més barat
Life360 és l'empresa matriu de Tile, per la qual cosa els investigadors de l'Institut Tecnològic de Geòrgia van realitzar les publicacions pertinents el mes de novembre de l'any passat. El pitjor és que Life360 no va seguir comunicant-se des del febrer. L'única resposta que va obtenir al respecte és que s'havien realitzat millores en la seguretat, però mai es va aclarir si la situació exposada havia estat resolta. Si tens un d'aquests rastrejadors el millor que podries fer és suspendre'n l'ús fins que l'empresa pugui aclarir el que va succeir. El pitjor és que aquesta informació va ocórrer fa alguns mesos. Confies en els rastrejadors de tercers?