Une étude sur le fonctionnement des traqueurs Tile a révélé une série de failles de sécurité. L'analyse conduite par une équipe du Georgia Institute of Technology a d'abord démontré que des individus motivés pour connaître les déplacements d'une personne et suffisamment alertes techniquement pouvaient pister les traqueurs Tile.
Les chercheurs ont constaté que chaque traqueur émettait l'adresse MAC et l'identifiant de l'accessoire en clair, sans chiffrement. Cette adresse, unique par nature, pouvait être interceptée par un dispositif Bluetooth placé à proximité, puis associée au propriétaire pour suivre ensuite sa balise. Le numéro d'identification est renouvelé au fil du temps, mais la manière choisie par Tile permettait aussi de deviner l'ID suivant et d'effectuer ainsi un suivi potentiellement ininterrompu.
Un autre problème a été mis en lumière, à savoir l'envoi sans chiffrement de ces deux informations vers les serveurs de Tile. Si cette adresse et l'ID associés sont stockés en clair chez Tile, le fabricant pourrait avoir la possibilité de connaître la position de ses clients alors même qu'il n’est supposé n'en rien savoir.
Wired, qui a interrogé les chercheurs, ajoute qu'ils ont contacté le propriétaire de Tile, Life360, en novembre pour les alerter. En février, l'entreprise a subitement cessé tout échange. Life360 a indiqué à Wired qu'un « certain nombre d'améliorations » avait été effectué depuis la réception des informations du Georgia Institute of Technology. Sans plus de détails, ni communication auprès des chercheurs et des clients.
