محققان در موسسه فناوری جورجیا چندین نقص طراحی را در ردیاب‌های موقعیت مکانی Tile شناسایی کرده‌اند که می‌تواند برای تعقیب مالک دستگاه مورد سوءاستفاده قرار گیرد.

Wired گزارش داد که آکشایا کومار، آنا ریمیکر و مایکل اسپکتر از جورجیا تک، مشکلاتی را کشف کرده‌اند که هم دستگاه‌های Tile منفرد و هم روش‌هایی که این دستگاه‌ها برای ارتباط با زیرساخت‌های مدیریت شده توسط Life360، مالک Tile، استفاده می‌کنند را تحت تأثیر قرار می‌دهد.

این سه نفر “دریافتند که هر تگ یک آدرس MAC رمزگذاری نشده و یک شناسه منحصر به فرد را پخش می‌کند که می‌تواند توسط سایر دستگاه‌های بلوتوث یا آنتن‌های فرکانس رادیویی در نزدیکی تگ برای ردیابی حرکات تگ و مالک آن دریافت شود،” Wired گزارش داد.

جمع‌آوری این اطلاعات پیش پا افتاده و رایج است. نیویورک تایمز در سال ۲۰۱۹ گزارش داد که خرده‌فروشان از بیکن‌های بلوتوث برای ردیابی حرکت افراد در فروشگاه‌های خود استفاده می‌کردند، به عنوان مثال، و به اصطلاح “اسنیفرها” به راحتی برای افراد در دسترس هستند. چنین دستگاه‌هایی حتی تا حدودی رایج هستند در تنظیمات خانه‌های هوشمند.

این روش‌های جمع‌آوری داده‌ها درباره ردیاب‌های موقعیت مکانی همچنین از تدابیر امنیتی که Tile در سال ۲۰۲۳ به دستگاه‌های خود اضافه کرد، عبور می‌کنند. این محافظت‌ها، که شرکت پس از چندین حادثه برجسته استفاده از ردیاب‌های موقعیت مکانی توسط سارقان، تعقیب‌کنندگان و سایر مجرمان معرفی کرد، فقط برای سوءاستفاده از محصولات آن اعمال می‌شود.

اما این چیزی نیست که در اینجا اتفاق می‌افتد. این تدابیر امنیتی قرار است برای مالک Tile دشوارتر کند که کسی را با قرار دادن یک ردیاب در کیف او، تعقیب کند. با این حال، همین تدابیر امنیتی نمی‌توانند تشخیص دهند که آیا Tile در حالی که هنوز در اختیار مالک است، با یک دستگاه بلوتوث به ظاهر بی‌ضرر ارتباط برقرار می‌کند یا خیر.

این تنها مشکل نبود. Wired گزارش داد “موقعیت مکانی یک تگ، آدرس MAC و شناسه منحصر به فرد آن نیز به صورت رمزگذاری نشده به سرورهای Tile ارسال می‌شود، جایی که محققان معتقدند این اطلاعات به صورت متن ساده ذخیره می‌شود، که به Tile امکان ردیابی موقعیت مکانی تگ‌ها و مالکان آن‌ها را می‌دهد، حتی اگر شرکت ادعا می‌کند که این قابلیت را ندارد.”

مشکل، البته، تفاوت بین ادعای عدم داشتن این قابلیت در حال حاضر و اطمینان از اینکه این قابلیت بعداً توسعه نخواهد یافت، است. رمزگذاری این داده‌ها نه تنها اکنون از آن محافظت می‌کند؛ بلکه تضمین می‌کند که داده‌های تاریخی نمی‌توانند توسط Life360، مجرمان سایبری یا حتی سازمان‌های دولتی در آینده مورد سوءاستفاده قرار گیرند.