佐治亚理工学院的研究人员发现Tile定位追踪器存在多项设计缺陷,可能被利用来跟踪设备所有者。据《连线》杂志报道,佐治亚理工学院的阿克沙亚·库马尔(Akshaya Kumar)、安娜·雷梅克(Anna Raymaker)和迈克尔·斯佩克特(Michael Specter)发现的问题既影响单个Tile设备,也影响这些设备与Tile母公司Life360管理的基础设施通信的方式。
研究团队“发现每个标签会广播未加密的MAC地址和唯一标识符,可被附近的其他蓝牙设备或射频天线捕获,从而追踪标签及其持有者的移动轨迹”。此类信息采集手段简单且普遍,《纽约时报》早在2019年就报道过零售商使用蓝牙信标追踪顾客在店内的行动轨迹,而所谓的“嗅探器”更是唾手可得。这类设备在智能家居配置中甚至已相当常见。
这些位置数据收集方法还能绕开Tile在2023年为设备增设的安全防护。该公司在发生多起盗窃犯、跟踪者及其他犯罪分子滥用定位追踪器的高调事件后引入的这些保护措施,仅能防范其产品被不当使用。但当前漏洞与之不同——防护机制旨在增加他人将追踪器放入用户包袋中进行跟踪的难度,却无法识别Tile设备在物主持有期间是否正与看似无害的蓝牙设备通信。
这并非唯一问题。《连线》还披露“标签位置、MAC地址和唯一标识符会以未加密形式发送至Tile服务器,研究人员认为这些信息以明文存储,使得Tile具备追踪标签及其持有者位置的能力,尽管该公司声称并不具备该功能”。核心矛盾在于:声称当前不具备此能力与确保未来不会开发此能力存在本质区别。对数据进行加密不仅能为当下提供保护,更能确保历史数据不会被Life360、网络罪犯乃至政府机构在未来滥用。
