A promessa dos localizadores Tile é simples: ajudar a encontrar os seus objetos perdidos. No entanto, uma nova investigação revela que esta conveniência pode ter um custo elevado para a sua privacidade. Investigadores do Georgia Institute of Technology descobriram falhas de segurança significativas que poderiam permitir que tanto a própria empresa como stalkers com conhecimentos técnicos sigam a localização de um utilizador.
Segundo uma reportagem da Wired, as falhas podem ainda ser exploradas para um fim ainda mais perverso: incriminar falsamente o dono de um localizador Tile por perseguição, ao fazer parecer que a sua etiqueta está constantemente na proximidade de outra pessoa.
O problema está nos dados que ninguém vê
A raiz do problema reside na forma como os localizadores Tile comunicam. Ao contrário de outros dispositivos no mercado, os Tile transmitem uma quantidade considerável de dados, incluindo o endereço MAC estático do dispositivo e um identificador rotativo. De acordo com os investigadores, nenhuma desta informação é encriptada, ficando exposta a quem a queira intercetar.
Enquanto o identificador rotativo muda constantemente para tentar garantir o anonimato, o endereço MAC é um identificador único e fixo do hardware. Acredita-se que toda esta informação é armazenada em texto simples, o que a torna facilmente acessível a hackers. Teoricamente, isto também daria à própria Tile a capacidade de rastrear os seus utilizadores, embora a empresa afirme não possuir essa capacidade.
Um único deslize pode comprometer a sua privacidade para sempre
A situação agrava-se com a facilidade de interceção destes dados. Qualquer pessoa equipada com um scanner de radiofrequência pode, alegadamente, capturar toda esta informação enquanto está a ser transmitida. O problema pode não ser resolvido mesmo que a Tile decida parar de transmitir o endereço MAC. Isto porque a empresa gera os seus identificadores rotativos de uma forma que permite prever com fiabilidade os códigos futuros a partir dos anteriores.
"Um atacante só precisa de gravar uma mensagem do dispositivo", afirmou um dos investigadores, acrescentando que uma única mensagem capturada é suficiente para "o identificar para o resto da sua vida". O investigador sublinha que isto cria um risco de vigilância sistémica e uma séria ameaça à privacidade dos utilizadores.
A resposta da Tile: melhorias vagas e um silêncio preocupante
Os investigadores responsáveis pela descoberta contactaram a Life360, empresa-mãe da Tile, em novembro do ano passado para reportar as suas conclusões sobre esta falha de segurança. A Wired refere que a empresa interrompeu a comunicação com a equipa em fevereiro.
Em resposta, a empresa limitou-se a afirmar que já realizou uma série de melhorias na sua segurança, mas não forneceu quaisquer detalhes específicos sobre as medidas implementadas para corrigir estas vulnerabilidades críticas.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech