Tile gilt als praktisches Hilfsmittel, um verlorene Gegenstände wiederzufinden. Mit den kleinen Bluetooth-Tags lassen sich Schlüssel, Taschen oder Rucksäcke orten. Doch neue Forschungsergebnisse zeigen, dass genau diese Technik ein Sicherheitsrisiko darstellt. Tile weist Schwachstellen auf, die es nicht nur dem Unternehmen selbst, sondern auch Angreifern oder sogar Stalkern ermöglichen könnten, den Standort von Menschen nachzuverfolgen oder sie fälschlicherweise der Überwachung zu bezichtigen.
Bluetooth-Tracker wie Tile oder Apples AirTags sind inzwischen weit verbreitet. Sie funktionieren im Kern nach demselben Prinzip: Sie senden Signale aus, die von Smartphones in der Nähe empfangen werden, um den Standort eines Tags zu bestimmen. Doch die Unterschiede liegen im Detail – und genau dort entstehen massive Probleme. Während AirTags die Daten verschlüsseln und dadurch die Privatsphäre besser schützen, setzen Tile-Tags auf eine unsichere Architektur. Die Folgen können gravierend sein.
Unterschiede zwischen AirTags und Tile
AirTags und Tile wechseln alle 15 Minuten ihre Identifikationscodes, damit die Signale nicht dauerhaft mit einem Gerät verknüpft werden können. Apple überträgt dabei ausschließlich die wechselnden Codes und verschlüsselt sämtliche Daten. Tile hingegen sendet zusätzlich eine statische MAC-Adresse, die sich nie ändert, und überträgt beides unverschlüsselt. Damit unterscheidet sich Tile fundamental von Apples Lösung und öffnet die Tür für Missbrauch.
Unverschlüsselte Datenübertragung
Die Forscher Akshaya Kumar, Anna Raymaker und Michael Specter vom Georgia Institute of Technology konnten zeigen, dass Tile die MAC-Adresse gemeinsam mit dem rotierenden Code unverschlüsselt überträgt. Diese Kombination erlaubt es, einen Tile-Tag dauerhaft zu identifizieren. Dazu kommt: Standortdaten, MAC-Adressen und IDs werden unverschlüsselt an die Server von Tile gesendet. Nach Einschätzung der Forscher könnten diese Informationen dort im Klartext gespeichert werden. Das bedeutet, dass Tile den Standort von Tags und deren Besitzern theoretisch jederzeit nachverfolgen könnte, obwohl das Unternehmen angibt, dies nicht zu tun.
Angriffe mit einfachen Mitteln
Das Problem verschärft sich dadurch, dass diese Daten auch von außen abfangbar sind. Mit einem Radiofrequenzscanner lassen sich die unverschlüsselten Signale problemlos mitlesen. Noch schwerwiegender ist die Tatsache, dass auch die Rotations-IDs nicht wirklich sicher sind. Die Art, wie Tile diese Codes generiert, macht es möglich, zukünftige IDs aus bereits bekannten abzuleiten – selbst aus nur einem einzigen aufgezeichneten Code. Damit reicht ein kurzer Scan, um einen Tile-Tag für den Rest seiner Lebensdauer zu identifizieren.
Risiken für die Überwachung
Die Schwachstellen bedeuten, dass Tile-Tags nicht nur im Alltag praktisch sind, sondern auch für eine systematische Überwachung missbraucht werden können. Wer einmal gescannt wurde, kann im Prinzip dauerhaft im Blick bleiben. Diese Lücke ist besonders brisant, weil sie Nutzer über Jahre hinweg betreffen kann.
Schwächen im Anti-Stalking-Schutz
Tile verfügt zwar über eine Anti-Stalking-Funktion, die anzeigen soll, wenn ein fremder Tracker mitgeführt wird. Doch hier gibt es eine entscheidende Einschränkung: Wird die Diebstahlsicherung aktiviert, verschwindet der Tag aus diesen Scans. Das macht es möglich, dass ein Stalker ein Tile-Tag im Diebstahlschutzmodus versteckt und so unentdeckt bleibt. Der eigentliche Schutzmechanismus wird damit ausgehebelt.
Gefahr der falschen Beschuldigung
Ein weiteres Angriffsszenario zeigt, wie gefährlich die unverschlüsselte Datenstruktur ist. Mit einer Antenne lassen sich die Signale eines fremden Tile-Geräts abfangen. MAC-Adresse und ID können anschließend an einem anderen Ort wieder ausgesendet werden. Führt jemand dort einen Anti-Stalking-Scan durch, erscheinen diese Daten und werden zusammen mit dem Standort an die Server von Tile gesendet. So könnte es aussehen, als sei der ursprüngliche Tile-Besitzer an diesem Ort gewesen. Damit ist es möglich, eine völlig unbeteiligte Person als Stalker darzustellen. Da Tile nicht zwischen echten und manipulierten Signalen unterscheiden kann, bleibt dieser Angriff ohne Nachweisbarkeit.
Reaktion des Unternehmens
Die Sicherheitsforscher meldeten ihre Ergebnisse bereits im November letzten Jahres an Life360, die Muttergesellschaft von Tile. Zunächst gab es eine Kommunikation, doch seit Februar brach das Unternehmen den Austausch ab. Gegenüber Wired erklärte Life360 zwar, man habe Sicherheitsverbesserungen vorgenommen, doch es bleibt offen, ob die beschriebenen Schwachstellen tatsächlich behoben wurden.
Tile im Schatten von Apple: Sicherheit bleibt offen
Die Forschungsergebnisse legen nahe, dass Tile weit größere Sicherheitslücken aufweist, als bislang bekannt war. Unverschlüsselte Daten, vorhersagbare Identifikationscodes, ein manipulierbarer Anti-Stalking-Schutz und die Möglichkeit, Nutzer falsch zu belasten, zeigen, dass die Technologie erhebliche Risiken birgt. Während Apple bei AirTags auf ein hohes Maß an Sicherheit setzt, steht Tile in der Kritik, grundlegende Schutzmaßnahmen vernachlässigt zu haben. Solange unklar bleibt, ob die gemeldeten Probleme wirklich gelöst wurden, bleibt Tile ein unsicheres Werkzeug – praktisch im Alltag, aber gefährlich für die Privatsphäre. (Bild: Life360 / Tile)
- iOS 26.0.1: Apples nächstes Update löst nervige iPhone-Bugs
- Apple und Foxconn: Bericht enthüllt harte Arbeitsrealität
- Apple warnt vor DMA: Wenn Regulierung zum Risiko wird
- Apple in Europa: Welche Folgen der DMA wirklich hat
- Betrügerische Apps: Studie zeigt enorme Zunahme durch KI
- iPhone 17 Pro mit Kratzern? Apple klärt Ursache in den Stores auf
