I dispositivi Bluetooth come Tile nascono con l’obiettivo di aiutare gli utenti a ritrovare oggetti smarriti. Non è sempre questo il caso, almeno recentemente; infatti secondo un nuovo studio condotto dal Georgia Institute of Technology, i tracker Tile presentano gravi falle che potrebbero trasformarli in strumenti ideali per stalker e malintenzionati.
Indice:
Le vulnerabilità di Tile scoperte dai ricercatori
Il team composto da Akshaya Kumar, Anna Raymaker e Michael Specter ha individuato due problemi distinti che riguardano la gestione dei dati da parte dei tracker Tile.
Il primo riguarda la trasmissione di indirizzi MAC e ID univoci in chiaro, senza alcun tipo di cifratura. Queste informazioni possono essere intercettate da qualunque dispositivo Bluetooth o da antenne radio nelle vicinanze, permettendo di monitorare con precisione gli spostamenti del tag e, di conseguenza, del suo proprietario.
La seconda vulnerabilità riguarda la comunicazione con i server Tile. Secondo i ricercatori, le informazioni raccolte dai tracker vengono inviate senza cifratura e archiviate in chiaro.
Questo darebbe teoricamente all’azienda la possibilità di monitorare in tempo reale i movimenti degli utenti, contraddicendo le dichiarazioni ufficiali secondo cui Tile non sarebbe in grado di tracciare i proprietari dei tag.
Ciò che rende particolarmente pericolosa la prima vulnerabilità è il modo in cui Tile genera i suoi identificativi rotanti. In teoria, questi codici dovrebbero rendere più difficile il tracciamento, cambiando periodicamente per non permettere associazioni persistenti.
Secondo i ricercatori, basta registrare un solo messaggio trasmesso da un tracker per riuscire a calcolare i codici futuri.
Questo significa che un malintenzionato, dopo aver intercettato una singola trasmissione, potrebbe contrassegnare o “fingerprint”, come spiegato dai ricercatori, il dispositivo per tutta la sua vita utile, seguendolo ovunque vada.
Come ha spiegato uno dei membri del team: “Una persona malintenzionata deve solo registrare un messaggio. Da quel momento in poi, il dispositivo sarà tracciabile per sempre”.
La combinazione di questi due difetti espone gli utenti a un rischio reale di stalking digitale. Un individuo con conoscenze tecniche e gli strumenti adatti potrebbe infatti monitorare in maniera continua e silenziosa i movimenti di una persona.
Non si tratta di una minaccia teorica che appare oggi per la prima volta; già in passato i tracker Bluetooth sono stati al centro di polemiche simili.
Per esempio, ricorderete quando Apple introdusse notifiche automatiche per avvisare gli utenti quando un AirTag sconosciuto si muove con loro. Anche Google ha implementato misure simili per Android.
Tuttavia, il bug segnalato nei Tile potrebbe aggirare questi sistemi di protezione, rendendo inefficaci gli avvisi di sicurezza che dovrebbero difendere gli utenti da tracciamenti non autorizzati.
La risposta di Life360
Tile è da poco proprietà di Life360, azienda che si occupa di servizi di localizzazione per famiglie, la cui acquisizione di Tile venne vista con diffidenza dai proprietari di un Tile per via delle numerose segnalazioni di falle e generali carenze nella privacy di questi dispositivi.
Secondo Wired, i ricercatori hanno contattato la società già a novembre 2024 per segnalare i problemi riscontrati. Inizialmente ci sarebbe stata una risposta, ma le comunicazioni si sarebbero interrotte lo scorso febbraio.
In una dichiarazione successiva, Life360 ha affermato di aver “apportato numerosi miglioramenti” dopo aver ricevuto la segnalazione.
Tuttavia, non è chiaro quali interventi siano stati effettivamente implementati e se abbiano risolto i rischi descritti.
Tracker Bluetooth: tra utilità e rischi
Il caso Tile evidenzia un dilemma più ampio che riguarda l’intero mercato dei tracker Bluetooth. Da un lato, questi dispositivi sono estremamente utili per ritrovare oggetti smarriti, dall’altro aprono la porta a potenziali abusi.
Il team di ricerca ha inoltre sollevato anche interrogativi sul fronte normativo. Al momento, non esistono standard obbligatori che impongano ai produttori di implementare specifiche misure di sicurezza per i tracker Bluetooth. Ogni azienda decide come gestire dati e protezioni, con livelli di trasparenza e robustezza molto variabili.
Insomma, la scoperta dei ricercatori del Georgia Institute of Technology rappresenta un campanello d’allarme per Tile e, più in generale, per tutti i produttori di tracker Bluetooth.
Adesso Life360 dovrà chiarire con urgenza quali misure siano state adottate per correggere le falle emerse. Nel frattempo, il consiglio per gli utenti è di prestare attenzione a come si utilizzano i tracker dell’azienda e di tenere alta la guardia di fronte a comportamenti sospetti.