Újabb aggályokat vet fel a Strava adatvédelme

Borítókép: Wikipédia/saját szerkesztés

Az Észak-Karolinai Állami Egyetem kutatói adatvédelmi kockázatot fedeztek fel a Strava alkalmazás hőtérkép (heatmap) funkciójában, amely a felhasználók lakcímének beazonosításához vezethet.

A Strava egy népszerű GPS-alapú fitnesz alkalmazás, amelynek világszerte több mint 100 millió felhasználója van. Segít az embereknek nyomon követni az edzés közbeni pulzusszámukat, tevékenységük adatait, GPS-helyzetüket és még sok mást.

2018-ban a Strava bevezetett egy “heatmap (hőtérkép)” nevű funkciót, amely névtelenül összesíti a felhasználók (pl.: futók, kerékpárosok, túrázók) aktivitását, annak érdekében, hogy összegyűjtse a különböző túraútvonalakat, ösvényeket vagy épp segítsen biztonságos helyszínt találni az edzések elvégzésére. A kutatók azonban megállapították, hogy ez a funkció lehetőséget teremt a felhasználók rosszindulatú nyomonkövetésére a nyilvánosan elérhető hőtérkép-adatok és a konkrét felhasználói metaadatok felhasználásával.

A sportolók otthonának felkutatása

A kutatók első lépése az volt, hogy egy hónapon keresztül gyűjtötték a Strava hőtérképén keresztül nyilvánosan elérhető adatokat Arkansas, Ohio és Észak-Karolina államokra vonatkozóan. Ezután képelemzéssel megtalálták a felhasználók kiindulási és befejezési (start/stop) pontjait.

Hőtérkép a felhasználók otthonának a közelében. Forrás: anupamdas.org

Miután a kutatócsoport kiválasztotta a kritériumoknak megfelelő hőtérképes képernyőfotókat, az OpenStreetMaps képeket olyan nagyítási szinten helyezték egymásra, amelyek segítettek az egyes lakcímek azonosításában.

A képelemzés vizualizációja. A piros pontok a házakat jelölik, a kék pont a házból származó “hőt” jelképezi. Forrás: anupamdas.org

A következő lépésként felkutatták azokat a felhasználókat, akik a regisztráció során megadták a helyszínként a lakóhely szerinti városukat. A hőtérkép végpontjainak és a felhasználók személyes adatainak összehasonlításával a kutatók korrelálni tudták a hőtérképen lévő magas aktivitási pontokat és a felhasználók lakcímét. A nyilvános Strava-profilok időbélyegekkel és távolságokkal ellátott aktivitási adatokat tartalmaztak, amely megkönnyítette a hőtérkép adataival megegyező potenciális útvonalak azonosítását.

Támadási logika és adatáttekintés. Forrás: anupamdas.org

Mivel sok Strava-felhasználó valódi névvel-, és profilképpel regisztrál, lehetséges a személyazonosság és a lakóhely korrelációja is.

A kutatók a hőtérkép és egyéb metaadatok összehasonlításával 37,5%-os pontossággal tudták meghatározni a felhasználók kiindulási és befejezési pontját, amely gyakran az otthonukat jelentette.

Minél több tevékenységet regisztrál egy felhasználó, annál nagyobb az esélye a támadásra. Forrás: anupamdas.org

A Strava adatvédelmének javítása

  • Amennyiben a felhasználó egy sűrűn lakott területen él, a Strava hatalmas mennyiségű hőtérkép-adatot kap, amely szinte lehetetlenné teszi a nyomonkövetést.
  • Az adatvédelemmel kapcsolatos aggályok enyhítése érdekében a felhasználóknak javasolt akkor elindítani a GPS-alapú edzés nyomonkövetést, amikor elhagyta az otthonát.
  • A kutatók azt is javasolják, hogy a hőtérkép támogassa azt a lehetőséget, hogy a felhasználók adatvédelmi zónákat állíthassanak be például az otthonuk közelében.
  • A hőtérkép funkció alapértelmezés szerint minden Strava-alkalmazáson aktív, de a felhasználók a beállítások menüpontban kikapcsolhatják.
  • Továbbá van lehetőség nyilvános helyett, privátra állítani a felhasználói fiókot, ekkor a regisztrációkor megadott név és egyéb tevékenységadatok is elrejtésre kerülnek.

 

A BleepingComputer megkereste a Strava-t, hogy kommentálják a cikkük megállapításait, illetve érdeklődtek, hogy a jövőre nézve vannak-e javítási terveik. Az alábbi válasz érkezett:

Közösségünk biztonsága és magánéletének védelme a legfőbb prioritásunk. Régóta bevezetésre kerültek különböző adatvédelmi kontrollok (beleértve a térkép láthatóságának vezérlését), amelyek lehetővé teszik a felhasználók számára, hogy maguk határozzák meg, mit és kivel osztanak meg.

A Strava nem követi a felhasználókat, és nem oszt meg adatokat az engedélyük nélkül. Amikor a felhasználók megosztják az aktivitási adataikat a Heatmap és a Strava Metro segítségével, hozzájárulnak egy olyan egyedülálló adathalmaz létrehozásához, amely megkönnyíti az útvonalak tervezését a közösség számára.

Bármely Strava-felhasználó, aki nem kíván hozzájárulni a Hőtérképhez, kikapcsolhatja vagy alapértelmezetten csak saját maga számára láthatóvá teheti ezt a funkciót.

 

(bleepingcomputer.com)