Tile kann Standort aller Nutzer ohne Zustimmung überwachen, kritische Sicherheitslücken helfen Stalkern

Tile Tracker und Apple AirTags (ca. 30 Euro auf Amazon) funktionieren grundsätzlich ähnlich – beide Tracker teilen ihre Identifikationsnummer allen Smartphones in Bluetooth-Reichweite mit, die den Standort der Tracker anschließend anonym an den rechtmäßigen Eigentümer übermitteln. Diese ID wird alle 15 Minuten verändert, damit fremde Tracker dadurch nicht dauerhaft identifiziert werden können.

Laut eines neuen Berichts von Wired übertragen Tile Tracker aber nicht nur diese ID, sondern auch eine MAC-Adresse, die nicht geändert werden kann, und das auch noch unverschlüsselt. So ist es theoretisch möglich, einen fremden Tag zu tracken und aufzuspüren, wodurch ein Tile Tag beispielsweise von Stalkern oder Einbrechern missbraucht werden kann. Mindestens ebenso kritisch ist, dass Tile diese Daten unverschlüsselt an die eigenen Server überträgt. Dadurch hat das Unternehmen die Möglichkeit, den Standort aller Tile Tags zu ermitteln, obwohl der Konzern das Gegenteil behauptet.

Selbst dann, wenn Tile die MAC-Adresse nicht übertragen würde, könnten die Tracker anhand der ID aufgespürt werden – diese ändert sich zwar regelmäßig, der Algorithmus ist aber vorhersehbar, sodass eine einzelne ID ausreicht, um die korrekte ID für den Rest der Lebensdauer eines Tile Trackers zu berechnen. Theoretisch wäre es sogar möglich, die MAC-Adresse und ID aufzuzeichnen und an einem anderen Ort wieder auszusenden, um den Anschein zu erwecken, jemand anderes würde eine Person stalken.

Auch Tiles Anti-Diebstahl-Modus erhält Kritik, denn in diesem Modus kann ein fremder Tag nicht mehr über die Tile-App aufgespürt werden, wodurch dieser effektiv zum Stalking missbraucht werden kann. Die Sicherheits-Forscher haben Tile diese Resultate im vergangenen November mitgeteilt, im Februar hat Tile die Kommunikation mit den Forschern aber eingestellt, ohne konkrete Verbesserungen in Aussicht zu stellen.