Los investigadores han descubierto importantes defectos de seguridad con etiquetas de seguimiento de azulejos, Según un informe de Cableado. Estos defectos podrían permitir que tanto la empresa como los acosadores expertos en tecnología rastreen la ubicación de un usuario. El problema de seguridad también podría permitir que un actor malicioso enmarque falsamente un propietario de mosaico para acechar, ya que la falla puede hacer que parezca que una etiqueta en particular está constantemente cerca de la etiqueta de otra persona.
El problema se refiere a cómo las etiquetas de mosaico transmiten datos durante el uso. Las etiquetas de mosaico transmiten muchos datos más allá de los de otros rastreadores, incluida la dirección MAC estática y la ID giratoria. Según los informes, ninguna de estas cosas está encriptada. La ID giratoria cambia todo el tiempo, pero una dirección MAC no.
Los investigadores creen que toda esta información se almacena en ClearText, lo que facilita a los piratas informáticos. Esto también teóricamente le daría a Tile la capacidad de rastrear a sus usuarios, aunque la compañía dice que no tiene esta capacidad.
Empeora. Cualquier persona con un escáner de radiofrecuencia supuestamente puede interceptar toda esta información a medida que se transmite, creando otro potencial orificio de seguridad. Además, este problema podría no resolverse si el mosaico decide dejar de transmitir la dirección MAC. Esto se debe a que la compañía genera su ID giratoria de tal manera que los códigos futuros se pueden predecir de manera confiable a partir de los pasados.
“Un atacante solo necesita grabar un mensaje del dispositivo”, dijo uno de los investigadores detrás de los hallazgos, y agregó que un solo mensaje grabado lo hará “huellas digitales por el resto de su vida”. El investigador dijo que esto crea un riesgo de vigilancia sistémica.
Los investigadores de seguridad, que están involucrados con el Instituto de Tecnología de Georgia, se comunicaron con la empresa matriz de Tile Life360 en noviembre del año pasado para informar los hallazgos. Cableado dijo la compañía dejó de comunicarse con los investigadores en febrero. La compañía dijo que ha realizado una serie de mejoras en su seguridad, pero no dio más detalles.
