Ortungsdienste wie Apples "Wo-ist"-Netzwerk sind beliebt, nicht nur zum Wiederfinden von Smartphones und Ohrhörern, sondern auch für nichtelektronische Objekte. Apple brachte im Jahr 2021 mit AirTag ein batteriebetriebenes Gerät heraus, mit dem sich Schlüssel, Taschen, Koffer oder Fahrzeuge aufspüren lassen. Das Konzept: Obgleich verschiedenste Apple-Geräte beim Tracking helfen, kann nur der ursprüngliche Besitzer den Aufenthaltsort einsehen. Das versprach auch Wettbewerber Life360, der einige Jahre vor Apple kleine Tracking-Anhänger unter dem Namen Tile vermarktete. Forscher des Georgia Institute of Technology legen offen, dass Tile nur unzureichend vor fremder Beobachtung schützt.


Persönliche Tracker nutzen Drahtlostechnologien wie Bluetooth, WLAN und UWB, um den eigenen Standort zu übermitteln: Ähnlich wie Apples AirTags sendet ein Tile-Anhänger einen einzigartigen Identifikator (Unique-ID) an teilnehmende Geräte. Verfügen diese über GPS, sendet das Netzwerk den Standort an einen Anbieter-Server, welcher wiederum dem Besitzer des Trackers bereitgestellt wird. Die Unique-ID wird regelmäßig ausgetauscht – im Fall von Tile findet das alle 15 Minuten statt. Akshaya Kumar, Anna Raymaker und Michael Specter haben sich dies genauer angesehen und festgestellt, dass Tile-Tracker zusätzlich noch die unveränderliche MAC-Adresse übertragen – und die Übertragung nicht verschlüsseln. Außerdem fanden sie heraus, wie neue Unique-IDs generiert werden. Findige Hacker müssen lediglich einmal eine solche Übertragung abfangen, um einen Tile-Tracker dauerhaft aufspüren zu können.

Anti-Stalking nur für zehn Minuten
Obendrein bewerten die Forscher die Anti-Stalking-Funktion als unzureichend: Um nachzuvollziehen, ob sich ein unerwünschter Tile-Tracker im eigenen Gepäck befindet, müssen Nutzer aktiv die dazugehörige Life360-App herunterladen, um dann die Anti-Stalking-Funktion zu starten. Diese bleibt lediglich zehn Minuten aktiv, für einen weiteren Scan muss man die Funktion erneut starten. Obendrein kann ein böswilliger Tile-Stalker vorbeugen und seinen Tile-Tracker in den Anti-Diebstahl-Modus versetzen; dann lässt sich dieser mit der Anti-Stalking-Funktion nicht mehr aufspüren. Apples AirTags weisen automatisch auf dem iPhone und durch regelmäßige Signaltöne darauf hin, wenn ein fremdes AirTag über längere Zeit mit einem mitreist.

Hersteller hält sich bedeckt
Bereits im November letzten Jahres haben die Forscher den Anbieter Life360 von ihren Erkenntnissen wissen lassen. Anfangs reagierte der Konzern noch, stellte allerdings im Februar jegliche Kommunikation ein. Die Forscher gaben gegenüber Wired an, dass sie die Funktion am beliebtesten Tracker des Herstellers vorgenommen haben: dem 2022 erschienenen Tile Mate, welcher weiterhin zum Verkauf steht. Bei anderen Geräten des Tile-Netzwerks, an dem auch Dell-Laptops, Bose-Kopfhörer und FitBit-Tracker teilnehmen, müsse dieses Problem nicht zwingend vorliegen. Inzwischen ist eine neue Version der Tile-Tracker erschienen. Der Hersteller gab auf Nachfrage von Wired an, einige Verbesserungen an der Sicherheit der eigenen Produkte vorgenommen zu haben, ohne jedoch ins Detail zu gehen.