Η δυνατότητα του χάρτη θερμότητας Strava μπορεί να γίνει κατάχρηση για την εύρεση διευθύνσεων σπιτιού
Ερευνητές στο North Carolina State University Raleigh ανακάλυψαν έναν κίνδυνο απορρήτου στη λειτουργία heatmap της εφαρμογής Strava που θα μπορούσε να οδηγήσει στον εντοπισμό των διευθύνσεων σπιτιού των χρηστών.
Το Strava είναι μια δημοφιλής εφαρμογή παρακολούθησης τρεξίματος και φυσικής κατάστασης με περισσότερους από 100 εκατομμύρια χρήστες σε όλο τον κόσμο, βοηθώντας τους ανθρώπους να παρακολουθούν τον καρδιακό ρυθμό, τις λεπτομέρειες δραστηριότητας, την τοποθεσία GPS και πολλά άλλα.
Το 2018, η Strava εφάρμοσε μια λειτουργία που ονομάζεται “heatmap” που συγκεντρώνει ανώνυμα τη δραστηριότητα των χρηστών (δρομείς, ποδηλάτες, πεζοπόροι) για να βοηθήσει τους χρήστες να βρουν μονοπάτια ή να ασκηθούν hotspot, να συναντήσουν άτομα με ομοϊδεάτες και να πραγματοποιήσουν τις συνεδρίες τους σε πιο πολυσύχναστες και ασφαλέστερες τοποθεσίες.
Ωστόσο, όπως οι ερευνητές
βρέθηκαν
αυτή η δυνατότητα ανοίγει τη δυνατότητα παρακολούθησης και αφαίρεσης ανωνυμίας χρηστών χρησιμοποιώντας δημόσια διαθέσιμα δεδομένα χάρτη θερμότητας σε συνδυασμό με συγκεκριμένα μεταδεδομένα χρήστη.
Εντοπισμός κατοικιών αθλητών
Το πρώτο βήμα που έκαναν οι ερευνητές ήταν να συλλέξουν δεδομένα διαθέσιμα στο κοινό μέσω του χάρτη θερμότητας Strava σε διάστημα ενός μήνα για τις πολιτείες του Αρκάνσας, του Οχάιο και της Βόρειας Καρολίνας.
Στη συνέχεια, χρησιμοποίησαν ανάλυση εικόνας για να ανιχνεύσουν περιοχές έναρξης/διακοπής δίπλα σε δρόμους, υποδεικνύοντας ότι ένα συγκεκριμένο σπίτι συνδέεται με μια πηγή δραστηριότητας που παρακολουθείται.
Δραστηριότητα θερμότητας κοντά σε ένα σπίτι
(anupamdas.org)
Έχοντας επιλέξει στιγμιότυπα οθόνης θερμότητας που ταιριάζουν με τα κριτήρια, η ομάδα επικάλυψε εικόνες OpenStreetMaps σε επίπεδα ζουμ που βοήθησαν στον εντοπισμό μεμονωμένων διευθύνσεων κατοικίας.
Επικάλυψη τοποθεσιών κατοικιών
(anupamdas.org)
Το επόμενο βήμα ήταν να πραγματοποιήσετε ανίχνευση χρηστών αξιοποιώντας μια κακώς τεκμηριωμένη δυνατότητα αναζήτησης στο Strava για να εντοπίσετε χρήστες που έχουν καταχωρίσει μια συγκεκριμένη πόλη ως τοποθεσία τους.
Συγκρίνοντας τα τελικά σημεία από τον χάρτη θερμότητας και τα προσωπικά δεδομένα ενός χρήστη από τη λειτουργία αναζήτησης, οι ερευνητές θα μπορούσαν να συσχετίσουν τα σημεία υψηλής δραστηριότητας στον χάρτη θερμότητας και τις διευθύνσεις σπιτιού των χρηστών.
Τα δημόσια προφίλ Strava περιέχουν δεδομένα δραστηριότητας με χρονικές σημάνσεις και αποστάσεις, διευκολύνοντας τον εντοπισμό πιθανών διαδρομών που ταιριάζουν με τα μοτίβα στα δεδομένα του χάρτη θερμότητας, περιορίζοντας τα άτομα και τις αντιστοιχίσεις περιοχής.
Λογική επίθεσης και επισκόπηση δεδομένων
(anupamdas.org)
Καθώς πολλοί χρήστες του Strava εγγράφονται με τα πραγματικά τους ονόματα και ανεβάζουν ακόμη και φωτογραφίες προφίλ των εαυτών τους, είναι δυνατή η συσχέτιση ταυτοτήτων με τοποθεσίες κατοικιών.
Για την έρευνά τους, οι επιστήμονες συσχέτισαν τα ευρήματά τους με τα στοιχεία εγγραφής ψηφοφόρων και βρήκαν ότι οι προβλέψεις τους ήταν περίπου 37,5% ακριβείς.
“Ένας πιο ενεργός χρήστης παράγει περισσότερη θερμότητα στον χάρτη θερμότητας Strava και ως εκ τούτου αναγνωρίζεται πιο εύκολα. Το Σχήμα 7 δείχνει την πιθανότητα αντιστοίχισης με βάση τον αριθμό των δραστηριοτήτων που δημοσιεύονται”, εξηγούν οι ερευνητές.
“Για το υπόλοιπο της ανάλυσης, θα υποθέσουμε ότι ο στόχος της επίθεσης δημοσιεύει έναν μέσο αριθμό δραστηριοτήτων, ο οποίος για το σύνολο δεδομένων μας είναι 308 δραστηριότητες.”
«Με το κατώφλι των 100 μέτρων και το θύμα να δημοσιεύει 308 δραστηριότητες, η πιθανότητα να μπορέσει να ανακαλυφθεί είναι 37,5%.
Όσο περισσότερες δραστηριότητες καταχωρεί ένας χρήστης, τόσο μεγαλύτερες είναι οι πιθανότητες επίθεσης
(anupamdas.org)
Ενίσχυση της ιδιωτικής ζωής του Strava
Ο πρώτος παθητικός μετριασμός είναι να ζεις σε μια πυκνοκατοικημένη περιοχή που λαμβάνει τεράστιες ποσότητες δεδομένων χάρτη θερμότητας Strava, καθιστώντας την παρακολούθηση για κάθε άτομο σχεδόν αδύνατη.
Ένας άλλος τρόπος για να μετριαστείτε αυτό το πρόβλημα απορρήτου θα ήταν να ξεκινήσετε την παρακολούθηση αφού φύγετε από το σπίτι σας ή να δημιουργήσει η Strava εξαίρεση για θερμικό χάρτη για λίγα μέτρα γύρω από τις τοποθεσίες του σπιτιού όπως επισημαίνονται στους OpenStreetMaps.
Οι ερευνητές προτείνουν επίσης ότι ο χάρτης θερμότητας θα πρέπει να υποστηρίζει μια επιλογή για τους χρήστες να ορίζουν ζώνες απορρήτου γύρω από τα σπίτια τους ή και αλλού.
Η λειτουργία Heatmap είναι ενεργή από προεπιλογή σε όλες τις εφαρμογές Strava, αλλά οι χρήστες μπορούν να εξαιρεθούν μέσω των ρυθμίσεων.
Όσον αφορά τις ρυθμίσεις προφίλ, όσοι ανησυχούν για το απόρρητο θα πρέπει να διατηρήσουν τα προφίλ χρηστών στην εφαρμογή Strava απόρρητα, κάτι που δεν θα εκθέτει ονόματα και δεδομένα δραστηριότητας.
Η BleepingComputer επικοινώνησε με την Strava ζητώντας ένα σχόλιο σχετικά με τα ευρήματα της εφημερίδας και εάν ο προμηθευτής λογισμικού έχει σχέδια επιδιόρθωσης, αλλά δεν έχουμε λάβει απάντηση μέχρι τη στιγμή της δημοσίευσης.
