ジョージア工科大学の研究者たちは、タイルのセキュリティに重大な欠陥があると発表しました。この欠陥により、企業や技術に詳しいストーカーが位置情報を追跡できる可能性があるということです。
この問題は、エアタグとタイルタグのセキュリティの違いに由来しています。エアタグは回転するIDコードのみを暗号化して送信しますが、タイルタグは回転するIDと静的なMACアドレスを暗号化せずに送信します。
研究者のアクシャヤ・クマール氏、アンナ・レイメーカー氏、マイケル・スペクター氏によると、タイルのMACアドレスは変わらず、IDとともにタイルのサーバーに平文で送信されるため、タイルがタグの位置情報を追跡できる可能性があるとしています。
さらに、ラジオ周波数スキャナーを使用すれば、送信中の情報を傍受することが可能です。タイルがMACアドレスの送信を停止しても問題は解決しません。回転IDの生成方法が安全でなく、過去のIDから将来のIDを予測できるためです。
タイルはエアタグと同様に、他人のタグに追跡されているか確認する機能を提供していますが、実装に大きな脆弱性があります。アンチセフトモードを有効にすると、タグが見えなくなり、ストーカーがタグを隠すことが可能です。
さらに、悪意のある人物が他人のタグのMACアドレスとIDを再送信することで、無実の人をストーカーとして誤認させることも可能です。
研究者たちは昨年11月にタイルの親会社であるライフ360にこの問題を報告しましたが、今年2月にコミュニケーションが途絶えたとしています。ライフ360はセキュリティ改善を行ったと述べていますが、具体的な対応は明らかにしていません。