Onderzoekers hebben in de bluetooth-trackers van verschillende fabrikanten kwetsbaarheden ontdekt waardoor het mogelijk is om gebruikers te volgen en andere soorten aanvallen uit te voeren. In totaal gaat het om een dozijn kwetsbaarheden voor drie producten, de TrackR Bravo, iTrack Easy en Zizai Tech Nut.

Bluetooth Low Energy (BLE) apparaat-trackers zijn kleine hardware-tokens die op persoonlijke voorwerpen worden aangebracht, zoals sleutelbossen en portemonnees. Deze apparaatjes zijn via bluetooth met de smartphone van de gebruiker gekoppeld en kunnen de gebruiker waarschuwen als bijvoorbeeld de sleutelbos of portemonnee buiten bereik is. Ze kunnen bijvoorbeeld worden gebruikt voor het vinden van gestolen of verloren voorwerpen.

Onderzoekers van beveiligingsbedrijf Rapid7 ontdekten onder andere dat het mogelijk is om het tracker-id te achterhalen en ongeauthenticeerde toegang te krijgen. Via het tracker-id is het mogelijk om de trackers, en daarmee ook de gebruikers, te volgen. Ook blijken de gebruikte apps het wachtwoord in platte tekst op te slaan, worden sessie-tokens gelekt en is het mogelijk om zonder toestemming via bluetooth te pairen. De meeste kwetsbaarheden zijn alleen door een aanvaller in de buurt aan te vallen.

Rapid7 waarschuwde de drie aanbieders, maar kreeg geen reactie. Totdat er een update van de fabrikanten beschikbaar is moeten gebruikers voor zichzelf bepalen of de risico's van deze kwetsbaarheden opwegen tegen het gebruik van de trackers en bijbehorende applicaties. De onderzoekers keken ook naar de Tile, maar deze tracker bleek geen van de kwetsbaarheden te bevatten die bij de andere trackers werden gevonden.