Tile sotto accusa: i tracker Bluetooth mettono a rischio privacy e sicurezza con dati in chiaro

I dispositivi di localizzazione Bluetooth come Tile sono nati per risolvere problemi quotidiani: ritrovare chiavi smarrite, un portafoglio dimenticato, persino un animale domestico fuggito. Con oltre 88 milioni di utenti in tutto il mondo, secondo la casa madre Life360, il marchio Tile rappresenta una delle soluzioni più diffuse nel settore del consumer tracking. Una recente ricerca condotta da Akshaya Kumar, Anna Raymaker e Michael Specter (Georgia Institute of Technology) ha tuttavia sollevato gravi preoccupazioni: la progettazione dei dispositivi Tile manifesterebbe alcune evidenti debolezze.

Il cuore della vulnerabilità: dati trasmessi in chiaro

La principale debolezza individuata dai ricercatori riguarda il protocollo di comunicazione. Ogni tag Tile trasmette indirizzo MAC statico e ID univoco senza alcuna forma di cifratura.

Queste informazioni possono quindi essere intercettate da qualunque dispositivo Bluetooth nelle vicinanze oppure utilizzando antenne RF dedicate. Sono inoltre trasferite, sempre in chiaro, verso i server di Tile, dove — sempre secondo i ricercatori — sarebbero archiviate in formato leggibile (cleartext).

Significa che un aggressore può monitorare gli spostamenti di un utente, creando un tracciamento persistente e invisibile. Tile stessa, nonostante affermi il contrario, avrebbe la capacità tecnica di costruire mappe che riflettono i movimenti dei tracker, con potenziali ricadute sulla privacy e la possibilità di fornire i dati a terzi, Autorità comprese.

L’aspetto più critico è che, a differenza di Apple, Google o Samsung, che adottano meccanismi di rotazione dinamica degli ID e cifratura end-to-end, Tile ha scelto un approccio meno sicuro:

• L’ID viene sì ruotato (ogni 15 minuti vicino al telefono del proprietario o ogni 24 ore altrimenti), ma l’indirizzo MAC resta invariato.
• La generazione degli ID risulta debole e può essere utilizzata per attività di fingerprinting, con un solo pacchetto dati catturato.
• La progettazione dei Tile rende possibile collegare facilmente trasmissioni multiple allo stesso dispositivo, annullando il vantaggio della rotazione.

Anti-stalking e anti-theft: protezioni che si contraddicono

Un altro punto controverso, evidenziato nella ricerca di Kumar, Raymaker e Specter, riguarda le funzioni di protezione integrate nei tracker Tile.

Diversamente da Apple e Samsung, che effettuano controlli automatici e continui per rilevare tracker non autorizzati, Tile richiede all’utente di avviare manualmente una scansione di 10 minuti. Un sistema fragile, che dipende dalla costanza dell’utente.

Ancora, la cosiddetta modalità antifurto (anti-theft), ideata per nascondere un tag da potenziali ladri, rende invisibile il tracker anche alle vittime di stalking che cercano dispositivi non autorizzati. Un aggressore può quindi sfruttare questa caratteristica per occultare le proprie attività.

I ricercatori hanno inoltre dimostrato che il meccanismo antifurto può essere facilmente aggirato tramite una versione modificata dell’app, capace di rilevare comunque tutti gli ID.

Tile tenta di mitigare il rischio richiedendo documenti d’identità e un riconoscimento facciale per attivare l’anti-theft. Impone persino una clausola da 1 milione di dollari di penale in caso di abuso. Ma la reale efficacia legale ed operativa di questa misura appare discutibile.

Replay attack: il rischio di falsi positivi

Un’ulteriore vulnerabilità ha a che fare con i replay attack. Poiché le trasmissioni avvengono in chiaro, un malintenzionato può registrare i pacchetti di un tag legittimo e ritrasmetterli altrove. Così facendo, è possibile simulare la presenza del tag in un luogo diverso, arrivando persino a incastrare un utente innocente con prove digitali artefatte.

Un replay attack (attacco di ripetizione) è una tecnica in cui un aggressore cattura comunicazioni legittime fra dispositivi e le ritrasmette in un momento o luogo diverso per far sembrare che il messaggio originale (o il dispositivo che lo ha emesso) sia presente dove in realtà non lo è.

Il principio è semplice: se il destinatario o il servizio che riceve il messaggio non verifica che quel messaggio sia fresco e autentico, non può distinguere fra un messaggio genuino e la sua copia ri-trasmessa.

Il contrasto tra usabilità, privacy e sorveglianza

Il caso Tile evidenzia un conflitto ormai strutturale nei sistemi di localizzazione: da un lato, la necessità di usabilità immediata (semplicità d’uso, rilevamento rapido degli oggetti); dall’altro, le implicazioni sulla privacy e la sicurezza personale.

Se Apple, Google e Samsung hanno privilegiato la cifratura e la protezione da abusi, Tile ha scelto un modello orientato a funzionalità aggiuntive come l’anti-theft, sacrificando la resilienza anti-stalking. Il risultato è un ecosistema che può essere sfruttato sia da aggressori individuali sia — in scenari peggiori — da attori istituzionali per operazioni di sorveglianza di massa.

Le Autorità europee potrebbero a questo punto porre Tile sotto la lente del GDPR, considerando che i dati raccolti sono personally identifiable information (PII) trattati senza cifratura. Pure negli USA la questione si interseca con il delicato equilibrio tra tutela della privacy e possibilità di accesso da parte delle forze dell’ordine.

I ricercatori affermano di aver contattato la società madre di Tile, Life360, a novembre 2024 per avvisarli del problema. Tuttavia, sembra che l’azienda abbia interrotto le comunicazioni a febbraio 2025. Da parte sua, Life360 afferma al momento di aver “apportato una serie di miglioramenti” da quando ha ricevuto il report.