据BleepingComputer 6月11日消息,美国北卡罗来纳州立大学罗利分校的研究人员发现 Strava 应用程序的热图功能存在隐私风险,可能导致攻击者识别用户的家庭住址。
Strava 是一款流行的跑步伴侣和健身追踪应用程序,在全球拥有超过 1 亿用户,可帮助人们追踪心率、活动详情、GPS 位置等。2018 年,Strava 实施了一项名为“热图”的功能,该功能匿名汇总用户的活动区域,以帮助用户寻找热门运动场地及路线。
但研究人员发现,此功能虽然使用了公开可用的热图数据,但结合特定用户的元数据可能会泄露特定用户行踪,甚至让用户真实身份得到暴露。
研究人员先是搜集了Strava 一个月内阿肯色州、俄亥俄州和北卡罗来纳州的热图数据,接着用图像分析来检测街道旁边的开始和停止区域,以此表明特定房屋与跟踪活动的关联性。
房子附近的活动热度
在选择符合标准的热图屏幕截图后,研究人员以能够识别个人住所地址的缩放级别覆盖 OpenStreetMaps 图像,并利用Strava上的搜索功能爬行用户信息,以找到将某一特定城市作为其所在地的用户。
覆盖住所位置
通过比较热图中的端点和搜索功能中用户的个人信息,研究人员可以将热图上的高频活动点与用户的家庭住址相关联。公开的 Strava 配置文件包含带有时间戳和距离的活动数据,从而更容易识别与热图数据中的模式相匹配的活动路线,从而缩小人员和区域匹配范围。
可被利用的攻击逻辑和数据概述
由于许多 Strava 用户使用真实姓名注册,甚至上传了个人的真实资料照片,因此将身份与家庭地址相关联是可能的。
在研究中,研究人员将他们的发现与选民登记数据相关联,发现其预测准确率约为 37.5%,且用户越活跃,准确率就越高。
加强 Strava 隐私
要想避免暴露个人住所,最理想的的状态是住在人口稠密的地区,该地区会产生大量 Strava 热图数据,这使得几乎不可能进行针对特定人员的跟踪。否则,建议用户在离开家一段距离之后再开启热图功能,或者让 Strava 为 OpenStreetMaps 中标记的家庭位置周围几米的热图创建排除项。
研究人员还建议,热图应该支持用户选择在他们的住所周围或其他地方设置隐私区域,目前情况下,启用Strava后热图功能默认处于活动状态,需要用户自行通过设置选择退出。
BleepingComputer 已联系 Strava,要求对研究人员的发现以及软件供应商是否有任何修复计划发表评论,但到目前尚未收到回复。
参考来源:Strava heatmap feature can be abused to find home addresses
文章来自:https://www.freebuf.com/