據BleepingComputer 6月11日消息,美國北卡羅來納州立大學羅利分校的研究人員發(fā)現 Strava 應用程序的熱圖功能存在隱私風險��,可能導致攻擊者識別出用戶的家庭住址�。
(資料圖片僅供參考)
Strava 是一款流行的跑步伴侶和健身追蹤應用程序�,在全球擁有超過 1 億用戶����,可幫助人們追蹤心率、活動詳情���、GPS 位置等���。2018 年,Strava 實施了一項名為“熱圖”的功能���,該功能匿名匯總用戶的活動區(qū)域��,以幫助用戶尋找熱門運動場地及路線����。
但研究人員發(fā)現���,此功能雖然使用了公開可用的熱圖數據�,但結合特定用戶的元數據可能會泄露特定用戶行蹤�,甚至讓用戶真實身份得到暴露。
研究人員先是搜集了Strava 一個月內阿肯色州��、俄亥俄州和北卡羅來納州的熱圖數據,接著用圖像分析來檢測街道旁邊的開始和停止區(qū)域�����,以此表明特定房屋與跟蹤活動的關聯性�����。
房子附近的活動熱度
在選擇符合標準的熱圖屏幕截圖后���,研究人員以能夠識別個人住所地址的縮放級別覆蓋 OpenStreetMaps 圖像���,并利用Strava上的搜索功能爬行用戶信息,以找到將某一特定城市作為其所在地的用戶����。
覆蓋住所位置
通過比較熱圖中的端點和搜索功能中用戶的個人信息���,研究人員可以將熱圖上的高頻活動點與用戶的家庭住址相關聯��。公開的 Strava 配置文件包含帶有時間戳和距離的活動數據�����,從而更容易識別與熱圖數據中的模式相匹配的活動路線���,從而縮小人員和區(qū)域匹配范圍����。
可被利用的攻擊邏輯和數據概述
由于許多 Strava 用戶使用真實姓名注冊����,甚至上傳了個人的真實資料照片,因此將身份與家庭地址相關聯是可能的���。
在研究中���,研究人員將他們的發(fā)現與選民登記數據相關聯,發(fā)現其預測準確率約為 37.5%���,且用戶越活躍���,準確率就越高。
加強 Strava 隱私
要想避免暴露個人住所��,最理想的的狀態(tài)是住在人口稠密的地區(qū),該地區(qū)會產生大量 Strava 熱圖數據�,這使得幾乎不可能進行針對特定人員的跟蹤。否則�,建議用戶在離開家一段距離之后再開啟熱圖功能,或者讓 Strava 為 OpenStreetMaps 中標記的家庭位置周圍幾米的熱圖創(chuàng)建排除項��。
研究人員還建議�,熱圖應該支持用戶選擇在他們的住所周圍或其他地方設置隱私區(qū)域,目前情況下��,啟用Strava后熱圖功能默認處于活動狀態(tài)�����,需要用戶自行通過設置選擇退出�。
BleepingComputer 已聯系 Strava,要求對研究人員的發(fā)現以及軟件供應商是否有任何修復計劃發(fā)表評論��,但到目前尚未收到回復�����。
