Ερευνητές του Πολιτειακού Πανεπιστημίου της Βόρειας Καρολίνας στο Ράλεϊ ανακάλυψαν έναν κίνδυνο για την προστασία της ιδιωτικής ζωής στη λειτουργία θερμικού χάρτη του Strava, ο οποίος θα μπορούσε να οδηγήσει στον εντοπισμό των διευθύνσεων κατοικίας των χρηστών.
Το Strava είναι μια δημοφιλής εφαρμογή που συνοδεύει το τρέξιμο και την παρακολούθηση της φυσικής κατάστασης, με πάνω από 100 εκατομμύρια χρήστες παγκοσμίως, βοηθώντας τους ανθρώπους να παρακολουθούν τον καρδιακό ρυθμό τους, λεπτομέρειες σχετικά με τη δραστηριότητά τους, τη θέση GPS και πολλά άλλα.
Το 2018, το Strava εφάρμοσε ένα χαρακτηριστικό που ονομάζεται “Heatmap” και το οποίο συγκεντρώνει ανώνυμα τις δραστηριότητες των χρηστών (δρομείς, ποδηλάτες και πεζοπόροι) για να βοηθήσει τους χρήστες να βρουν μονοπάτια ή σημεία άσκησης, να συναντήσουν ομοϊδεάτες και να εκτελέσουν τις δραστηριότητες τους σε πιο πολυσύχναστες και ασφαλέστερες τοποθεσίες.
Ωστόσο, όπως διαπίστωσαν οι ερευνητές, το χαρακτηριστικό αυτό ανοίγει τη δυνατότητα εντοπισμού και αποανωνυμοποίησης χρηστών χρησιμοποιώντας δημόσια διαθέσιμα δεδομένα θερμικού χάρτη σε συνδυασμό με συγκεκριμένα user metadata.
Δείτε επίσης: Το προηγμένο κακόβουλο λογισμικό κατασκοπείας «Stealth Soldier» χτυπά λιβυκές εταιρείες
Εντοπισμός των κατοικιών των αθλητών
Το πρώτο βήμα που έκαναν οι ερευνητές ήταν να συλλέξουν δημόσια διαθέσιμα δεδομένα μέσω του χάρτη θερμότητας του Strava για ένα μήνα για τις πολιτείες του Αρκάνσας, του Οχάιο και της Βόρειας Καρολίνας.
Στη συνέχεια, χρησιμοποίησαν ανάλυση εικόνας για να εντοπίσουν περιοχές εκκίνησης και στάσης δίπλα σε δρόμους, υποδεικνύοντας ότι ένα συγκεκριμένο σπίτι συνδέεται με μια πηγή εντοπισμένης δραστηριότητας.
Αφού επέλεξε τα screenshot του χάρτη θερμότητας που πληρούσαν τα κριτήρια, η ομάδα επικάλυψε εικόνες OpenStreetMap σε επίπεδα ζουμ που βοήθησαν στον εντοπισμό μεμονωμένων διευθύνσεων κατοικιών.
Το επόμενο βήμα ήταν η πραγματοποίηση σάρωσης χρηστών, αξιοποιώντας μια ανεπαρκώς τεκμηριωμένη λειτουργία αναζήτησης στο Strava, για να εντοπιστούν οι χρήστες που είχαν δηλώσει μια συγκεκριμένη πόλη ως τοποθεσία τους.
Δείτε επίσης: Η ομάδα BlackCat ransomware διαρρέει τα data της HWL Ebsworth
Συγκρίνοντας τα τελικά σημεία από τον χάρτη θερμότητας με τα προσωπικά δεδομένα ενός χρήστη από τη λειτουργία αναζήτησης, οι ερευνητές μπόρεσαν να συσχετίσουν τα σημεία υψηλής δραστηριότητας στον χάρτη θερμότητας με τις διευθύνσεις κατοικίας των χρηστών.
Τα δημόσια προφίλ Strava περιέχουν δεδομένα δραστηριότητας με time stamps και αποστάσεις, διευκολύνοντας τον εντοπισμό πιθανών διαδρομών που ταιριάζουν με τα μοτίβα στα δεδομένα του χάρτη θερμότητας, περιορίζοντας τις αντιστοιχίες ανθρώπων και περιοχών.
Καθώς πολλοί χρήστες του Strava εγγράφονται με τα πραγματικά τους ονόματα και ανεβάζουν ακόμη και φωτογραφίες του προφίλ τους, είναι δυνατόν να συσχετιστούν οι ταυτότητες με τις τοποθεσίες κατοικίας.
Στο πλαίσιο της έρευνάς τους, οι επιστήμονες συσχέτισαν τα ευρήματά τους με τα δεδομένα voter registration και διαπίστωσαν ότι οι προβλέψεις τους ήταν περίπου 37,5% ακριβείς.
Δείτε επίσης: Fortinet: Διορθώνει κρίσιμο σφάλμα RCE στο Fortigate SSL VPN
“Ένας πιο ενεργός χρήστης παράγει περισσότερη θερμότητα στον χάρτη θερμότητας Strava και ως εκ τούτου αναγνωρίζεται πιο εύκολα. Το Figure 7 δείχνει την πιθανότητα μιας αντιστοιχίας με βάση τον αριθμό των δραστηριοτήτων που δημοσιεύονται”, εξηγούν οι ερευνητές.
“Για το υπόλοιπο της ανάλυσης, θα υποθέσουμε ότι ο στόχος της επίθεσης δημοσιεύει έναν μέσο αριθμό δραστηριοτήτων, ο οποίος για το σύνολο δεδομένων μας είναι 308 δραστηριότητες.”
“Με το όριο των 100 μέτρων και με το θύμα να έχει αναρτήσει 308 δραστηριότητες, η πιθανότητα να ανακαλυφθεί είναι 37,5%”.
Ενίσχυση της ιδιωτικής ζωής του Strava
Ο πρώτος τρόπος για να μετριάσετε αυτό το πρόβλημα ιδιωτικότητας θα ήταν να ξεκινήσετε την παρακολούθηση αφού έχετε φύγει από το σπίτι σας, ή να δημιουργήσει το Strava έναν αποκλεισμό για τον χάρτη θερμότητας σε απόσταση λίγων μέτρων από τις τοποθεσίες του σπιτιού σας, όπως αυτές σημειώνονται στο OpenStreetMaps.
Οι ερευνητές αναφέρουν επίσης ότι ο χάρτης θερμότητας θα πρέπει να υποστηρίζει μια επιλογή για τους χρήστες να ορίζουν ζώνες απορρήτου γύρω από το σπίτι τους ή αλλού.
Η λειτουργία heatmap είναι ενεργή από προεπιλογή σε όλες τις εφαρμογές Strava, αλλά οι χρήστες μπορούν να την απενεργοποιήσουν μέσω των ρυθμίσεων.
Όσον αφορά τις ρυθμίσεις προφίλ, όσοι ανησυχούν για την ιδιωτικότητα θα πρέπει να διατηρήσουν το προφίλ χρήστη στην εφαρμογή Strava ιδιωτικό, το οποίο δεν θα εκθέσει τα ονόματα και τα δεδομένα δραστηριότητάς τους.
Πηγή πληροφοριών: bleepingcomputer.com
