研究发现,Tile 追踪器存在严重的设计缺陷,与公司声称的隐私保护背道而驰。其设备广播未加密的识别信息,使得追踪者、甚至制造商本身都能轻易追踪用户位置。此外,其反跟踪功能不仅效果不佳,还容易被滥用,甚至可能导致无辜用户被诬陷为跟踪者,而 Tile 公司对此未做出明确的改进承诺。
核心问题:未加密的广播信号
Tile 追踪器通过蓝牙向外广播其位置,但其实现方式存在根本性漏洞。与苹果等竞争对手不同,Tile 的系统设计使其容易被滥用。
- 静态身份信息:每个 Tile 标签都会广播一个未加密的 MAC 地址和一个独特的 ID。关键在于,这个 MAC 地址是永久不变的,相当于一个不会改变的数字指纹。
- 轻松追踪:任何人只要有合适的设备,就可以拦截这些未加密的信号。由于 MAC 地址是固定的,即使唯一 ID 会定期更换,追踪者依然可以持续锁定并跟踪特定标签及其所有者的行动轨迹。
- 潜在的大规模监控:这些位置数据会被明文发送并存储在 Tile 的服务器上。这意味着 Tile 公司本身有能力查看所有用户的位置信息,并可能与执法部门等第三方共享。
研究人员指出:“这些问题将 Tile 的基础设施转变为一个全球性的追踪网络。”
形同虚设的反跟踪保护
为了应对滥用风险,追踪设备通常会提供反跟踪功能,提醒用户附近是否有不属于自己的追踪器在跟随自己。然而,Tile 的方案存在明显缺陷。
- 需要手动开启:与其他自动扫描的系统不同,Tile 的“扫描与安全”功能必须由用户手动启动,并且每次扫描仅持续 10 分钟。
- “防盗模式”成为帮凶:Tile 提供了一个独特的“防盗模式”,旨在防止小偷通过扫描发现被盗物品上的追踪器。但这个功能存在致命漏洞:
- 当跟踪者将用于跟踪的 Tile 标签设置为防盗模式后,该标签对受害者的反跟踪扫描就完全隐形了。
- 这意味着,跟踪者可以利用这个功能来隐藏自己的跟踪行为,使受害者无法发现自己正在被跟踪。
其他制造商选择不提供类似的防盗功能,正是为了优先保障更强大的反跟踪能力,这是一个 Tile 没有做出的权衡。
额外的风险与公司的模糊回应
除了直接的跟踪风险,Tile 的系统设计还带来了其他严重问题,而公司对此的回应却含糊其辞。
- 诬陷风险:由于广播信号未加密,攻击者可以轻易记录下某个 Tile 用户的设备信号,然后在另一个地方“重播”这些信号。这会让系统误以为该用户在跟踪另一个人,从而造成恶意陷害。
- 数据共享政策不一:关于是否与执法部门共享用户信息,Tile 的说法前后矛盾。它有时声称需要法院命令,有时又表示可以“自行决定”提供信息,即使用户并未被定罪。
- 简单的解决方案被忽视:研究人员强调,许多问题都可以通过一个简单的步骤来解决:对广播信号进行加密。这是竞争对手早已采用的标准做法,但 Tile 至今没有跟进。
尽管研究人员向 Tile 的母公司 Life360 报告了这些发现,但该公司并未明确回应将如何解决这些核心漏洞,只是笼统地表示已做出“一些改进”。