블루투스 장거리 연결
조지아 공과대학교(Georgia Institute of Technology) 연구원들이 Tile 위치 추적기에서 여러 설계상의 결함을 발견했으며, 이러한 결함들은 기기 소유자의 위치를 추적하는 데 악용될 수 있다고 지적했다.
Wired에 따르면, 조지아 공대 출신의 악샤야 쿠마르(Akshaya Kumar), 안나 레이메이커(Anna Raymaker), 마이클 스펙터(Michael Specter) 연구진은 개별 Tile 기기 자체의 문제점과 더불어, 해당 기기가 Tile의 소유자 Life360이 관리하는 인프라와 통신하는 방식 모두에 결함이 있음을 발견했다.
이들 연구진은 "각 태그가 암호화되지 않은 MAC 주소와 고유 ID를 방송하며, 이는 태그 주변의 다른 블루투스 장치나 무선 주파수 안테나를 통해 수신되어 태그와 소유자의 이동 경로를 추적하는 데 사용될 수 있다"고 보도했다.
(참고 기사 제목: 연구원들, 여러 액세스 포인트에 영향을 미치는 대규모 Wi-Fi 취약점 발견 / 사용자, 자신의 장치를 만지작거리다가 6,700대 이상의 로봇 청소기 제어권을 우발적으로 획득)
이러한 정보를 수집하는 것은 비교적 간단하고 일반적인 방법이다. 뉴욕 타임즈(The New York Times)는 2019년 소매업체들이 매장 내에서 사람들의 움직임을 추적하기 위해 블루투스 비콘을 사용하는 사례를 언급하며, 이른바 "스니퍼(sniffers)" 장치가 개인에게 쉽게 접근 가능하다는 점을 보도한 바 있다. 이러한 장비들은 스마트 홈 환경에서도 흔히 볼 수 있다.
이처럼 위치 추적기에 관한 데이터를 수집하는 방법들은 Tile이 2023년에 기기에 추가한 안전장치들을 우회할 수 있다. 해당 보호 장치는 도둑, 스토커 등 범죄자들이 위치 추적기를 오용하는 여러 사건 이후 회사가 도입한 것이며, 오직 제품의 '오용'에만 적용된다.
그러나 현재 상황은 그렇지 않다. 이 안전장치는 예를 들어 추적기를 가방 속에 숨겼을 때, 소유자가 누군가를 스토킹하는 것을 어렵게 만드는 데 목적을 두고 있다. 하지만 이 안전장치로는 Tile이 소유자의 소지품 안에 있으면서도 겉보기에 무해한 블루투스 장치와 통신하고 있는지를 판단할 수 없다.
더 큰 문제는 이보다 심각하다. Wired는 "태그의 위치, MAC 주소, 고유 ID 또한 암호화되지 않은 채 Tile의 서버로 전송되며, 연구원들은 이 정보가 평문(cleartext)으로 저장되어 있다고 보고 있다. 이는 회사가 그러한 기능을 보유하고 있지 않다고 주장함에도 불구하고 Tile이 태그와 소유자의 위치를 추적할 수 있게 한다"고 보도했다.
문제의 본질은 단순히 현재 이 능력을 가지고 있지 않다고 주장하는 것과, 미래에 이러한 능력이 개발되지 않도록 '보장'하는 것 사이의 차이점이다. 이 데이터를 암호화할 경우, 현재의 보호는 물론, 역사적 데이터가 Life360, 사이버 범죄자, 심지어 정부 기관에 의해서도 미래에 오용되는 것을 원천적으로 방지할 수 있다.