banner
Дом / Новости / Лазейка в фитнес-приложении открывает доступ к домашним адресам
Новости

Лазейка в фитнес-приложении открывает доступ к домашним адресам

May 09, 2023May 09, 2023

Несмотря на попытки анонимизировать пользовательские данные, фитнес-приложение Strava позволяет любому найти личную информацию, включая домашние адреса, о некоторых пользователях. Этот вывод, подробно описанный в новом исследовании, вызывает серьезные опасения по поводу конфиденциальности.

«Пользователи Strava ожидают, что их личная информация будет защищена, и наша работа показывает, что это не всегда так», — говорит Анупам Дас, старший автор статьи об этой работе и доцент кафедры информатики в Университете штата Северная Каролина. «Это может быть особенно проблематично для пользователей, которые обеспокоены преследователями или имеют другие причины желать, чтобы данные об их местонахождении были скрыты от общественности».

Strava — это мобильное приложение для отслеживания фитнеса, которое позволяет пользователям отслеживать свою физическую активность, а также включает в себя функции, помогающие пользователям общаться друг с другом. Эти функции можно использовать для организации клубов по общим интересам, таким как пеший туризм или езда на велосипеде. Например, приложение включает функцию «тепловой карты», которая объединяет пользовательские данные. Хотя все пользовательские данные анонимизированы, функция тепловой карты позволяет пользователям видеть, сколько других пользователей Strava ходят в походы, бегают или катаются на велосипеде в определенном районе.

«Strava подчеркивает, что функция тепловой карты использует только совокупные данные, что делает невозможным сбор частной информации о каком-либо конкретном пользователе», — говорит Дас. «Однако мы нашли лазейку».

В частности, исследователи обнаружили, что любой может найти всех пользователей Strava в определенной области. Пользователи также могут просмотреть совокупные данные на тепловой карте и увидеть, где начинаются и заканчиваются маршруты каждого анонимного пользователя.

«В густонаселенной местности, с множеством маршрутов и множеством пользователей, данных так много, что отследить какого-либо конкретного человека будет крайне сложно», — говорит Дас. «Однако в регионах, где мало пользователей и/или мало маршрутов, процесс исключения становится простым – особенно, если человек, которого ищут, является очень активным пользователем Strava. Обнаруживаются даже пользователи, которые пометили свои учетные записи как частные. когда кто-то ищет список всех пользователей в данном муниципалитете, поэтому пометка учетной записи как приватной не обязательно обеспечивает дополнительную защиту от этой техники отслеживания».

«Мы обратились к Strava по этому поводу, и компания заявила, что не передает данные тепловых карт, если в определенной области не активно несколько пользователей», — говорит Кевин Чайлдс, первый автор статьи и бывший студент NC State. «Тем не менее, нам все же удалось определить домашние адреса некоторых пользователей в определенных районах с помощью тепловой карты и подтвердить эту идентификацию с помощью данных регистрации избирателей».

Однако есть кое-что, что пользователи могут сделать, чтобы защитить свою конфиденциальность.

«Пользователи могут зайти в настройки своей учетной записи Strava и отказаться от предоставления данных для функции «использования агрегированных данных», что полностью удалит их маршруты из тепловой карты», — говорит Дас.

Доклад «Тепло отмечает точку: деанонимизация географических данных пользователей на тепловой карте Strava» был представлен 25 мая на 7-м семинаре по технологиям и защите потребителей (ConPro '23) в Сан-Франциско, Калифорния. -автор: Дэниел Нолтинг, студент Университета штата Северная Каролина.

-корабль-

Примечание для редакции:Аннотация исследования следует ниже.

«Тепло отмечает точку: деанонимизация географических данных пользователей на тепловой карте Strava»

Авторы: Кевин Чайлдс, Дэниел Нолтинг и Анупам Дас, Университет штата Северная Каролина

Представлено: 25 мая, ConPro '23, Сан-Франциско, Калифорния.

Абстрактный: Мобильные приложения для отслеживания фитнеса, такие как Strava, обычно используются для записи занятий, отслеживания прогресса в фитнесе и формирования сообщества единомышленников. Стремясь к дальнейшему вовлечению сообщества, в 2018 году Strava реализовала функцию тепловой карты отказа, которая анонимно объединяет все действия на одной карте. Это позволяет пользователям находить горячие точки и активные следы, одновременно открывая платформу для атак деанонимизации, таких как определение домашних адресов пользователей. Сканируя общедоступную тепловую карту и проводя ручную проверку, мы продемонстрировали, что домашний адрес очень активных пользователей в отдаленных районах может быть идентифицирован, что нарушает требования Strava о конфиденциальности и представляет собой угрозу конфиденциальности пользователей.