Tile追踪器安全漏洞使用户面临追踪风险

安全研究人员在Tile位置追踪器中发现了关键漏洞，可能允许跟踪者利用设备缺乏加密的特性秘密监控用户。

这些缺陷凸显了围绕蓝牙追踪器长期存在的隐私问题，这些设备作为帮助人们寻找丢失物品的工具进行营销，但可能被用于侵入性监视。

电子前沿基金会网络安全总监Eva Galperin表示：“从历史来看，Tile在这一领域表现不佳，因为他们早就知道所有设计选择带来的问题。”

隐私面临风险

由Life360制造的Tile追踪器被广泛用于追踪钥匙、钱包或背包等个人物品。

然而，根据佐治亚理工学院研究人员的说法，Tile设备的通信方式使所有者面临被跟踪的风险。与同时轮换唯一标识符和MAC地址的Apple AirTags和三星SmartTags不同，Tile仅轮换唯一标识符，允许攻击者无限期地对标签进行指纹识别和跟踪。

这个漏洞的重要性在于它超出了假设的误用范围。由于涉及AirTags的高调跟踪案件，位置追踪器已经受到审查，促使苹果和谷歌采用检测不需要的位置追踪器的行业标准。

问题的核心是Tile未能加密其追踪器广播的数据。

每个设备通过蓝牙以明文形式传输其MAC地址和唯一ID。研究人员发现，这使得攻击者使用常见的蓝牙嗅探器或天线拦截广播变得轻而易举。一旦攻击者将标签的MAC地址与其ID链接，他们就可以在设备的整个生命周期内监控其移动。

但当用户启用“防盗窃模式”时（需要上传带照片的身份证件并同意对误用的处罚），追踪器在Tile的网络上变得不可见。虽然旨在防止盗窃，但研究人员认为此功能也阻止了受害者发现他们被跟踪。

更糟糕的是，据报道，发送到Tile服务器的数据，包括MAC地址和ID，也未加密存储。这意味着不仅用户暴露给恶意行为者，公司本身保留的信息可能比其承认的要多。

为降低不安全蓝牙跟踪设备带来的风险，安全团队应实施以下防护措施：

Tile漏洞是关于消费技术意外后果的更广泛讨论的一部分。位置追踪器作为便利工具进行营销，但其误用使个人（进而工作场所）面临监视和安全风险。

针对Tile、Life360和亚马逊关于追踪设备涉嫌误用的持续诉讼表明，监管机构和法院开始认真对待这些技术的社会影响。

与此同时，像检测不需要的位置追踪器协议这样的行业标准表明，技术保障既可能又必要。

教训很明确：不能孤立地看待消费技术。个人设备和专业环境之间的重叠意味着，即使是专为家庭使用设计的产品，如果其安全状况薄弱，也可能造成企业范围的风险。

Tile未能加密通信和充分轮换设备标识符，使其追踪器容易受到跟踪者和其他恶意行为者的滥用。尽管Tile声称有所改进，但研究表明仍需要更强的保障措施。

随着消费设备越来越多地兼作工作场所工具，组织必须全面考虑隐私和安全。即使是微小的设计疏忽（如广播未加密的MAC地址），如果不及时解决，也可能产生重大的现实后果。

这些风险凸显了为什么组织必须超越基本防御，采用零信任原则来保护数据和用户。