據(jù)BleepingComputer 6月11日消息,美國北卡羅來納州立大學(xué)羅利分校的研究人員發(fā)現(xiàn) Strava 應(yīng)用程序的熱圖功能存在隱私風(fēng)險����,可能導(dǎo)致攻擊者識別出用戶的家庭住址���。
(資料圖片僅供參考)
Strava 是一款流行的跑步伴侶和健身追蹤應(yīng)用程序����,在全球擁有超過 1 億用戶��,可幫助人們追蹤心率、活動詳情、GPS 位置等��。2018 年��,Strava 實施了一項名為“熱圖”的功能����,該功能匿名匯總用戶的活動區(qū)域,以幫助用戶尋找熱門運動場地及路線。
但研究人員發(fā)現(xiàn),此功能雖然使用了公開可用的熱圖數(shù)據(jù)���,但結(jié)合特定用戶的元數(shù)據(jù)可能會泄露特定用戶行蹤��,甚至讓用戶真實身份得到暴露���。
研究人員先是搜集了Strava 一個月內(nèi)阿肯色州、俄亥俄州和北卡羅來納州的熱圖數(shù)據(jù)�����,接著用圖像分析來檢測街道旁邊的開始和停止區(qū)域����,以此表明特定房屋與跟蹤活動的關(guān)聯(lián)性。
房子附近的活動熱度
在選擇符合標(biāo)準(zhǔn)的熱圖屏幕截圖后�����,研究人員以能夠識別個人住所地址的縮放級別覆蓋 OpenStreetMaps 圖像,并利用Strava上的搜索功能爬行用戶信息����,以找到將某一特定城市作為其所在地的用戶。
覆蓋住所位置
通過比較熱圖中的端點和搜索功能中用戶的個人信息,研究人員可以將熱圖上的高頻活動點與用戶的家庭住址相關(guān)聯(lián)�����。公開的 Strava 配置文件包含帶有時間戳和距離的活動數(shù)據(jù)����,從而更容易識別與熱圖數(shù)據(jù)中的模式相匹配的活動路線���,從而縮小人員和區(qū)域匹配范圍���。
可被利用的攻擊邏輯和數(shù)據(jù)概述
由于許多 Strava 用戶使用真實姓名注冊,甚至上傳了個人的真實資料照片���,因此將身份與家庭地址相關(guān)聯(lián)是可能的����。
在研究中����,研究人員將他們的發(fā)現(xiàn)與選民登記數(shù)據(jù)相關(guān)聯(lián)����,發(fā)現(xiàn)其預(yù)測準(zhǔn)確率約為 37.5%���,且用戶越活躍,準(zhǔn)確率就越高����。
加強 Strava 隱私
要想避免暴露個人住所�����,最理想的的狀態(tài)是住在人口稠密的地區(qū)�����,該地區(qū)會產(chǎn)生大量 Strava 熱圖數(shù)據(jù)����,這使得幾乎不可能進(jìn)行針對特定人員的跟蹤。否則��,建議用戶在離開家一段距離之后再開啟熱圖功能,或者讓 Strava 為 OpenStreetMaps 中標(biāo)記的家庭位置周圍幾米的熱圖創(chuàng)建排除項���。
研究人員還建議���,熱圖應(yīng)該支持用戶選擇在他們的住所周圍或其他地方設(shè)置隱私區(qū)域����,目前情況下����,啟用Strava后熱圖功能默認(rèn)處于活動狀態(tài),需要用戶自行通過設(shè)置選擇退出����。
BleepingComputer 已聯(lián)系 Strava,要求對研究人員的發(fā)現(xiàn)以及軟件供應(yīng)商是否有任何修復(fù)計劃發(fā)表評論,但到目前尚未收到回復(fù)����。
