警惕！健身跟踪社交网络中的隐私数据泄露-隐私区域保护功能可能形同虚设

来自自比利时KU Leuven的两名博士生研究发现，Strava等健身应用程序会泄露用户的敏感位置信息，即使他们使用应用程序的功能专门设置隐私区域以隐藏他们在特定区域内的活动。 两名博士生的攻击测长期表明，如果一个人是从家里开始他或她的活动，技能有限的攻击者可以使用应用程序中显示的高精度API元数据来查明他们的家庭位置，即使他们已经为该区域设置所谓的“端点隐私区”（EPZ）。Strava是一款风靡欧美的测速应用，其主要功能是把自行车爱好者们的成绩和名将们的成绩加入到同一个排名中，让自行车爱好者或者跑步爱好者们能和世界名将们一较高下。据称目前有195个国家或地区的1亿多个运动达人在使用Strava应用程序。记录、 锻炼、分享、点赞是该应用的口号。

此外，研究人员Karel Dhondt和Victor Le Pochat表示，尽管联系了泄露这些数据的应用程序公司，但问题在很大程度上仍未解决。他们计划在Black Hat Asia的一场名为“一天跑步不会让黑客远离：健身追踪社交网络端点隐私区的推理攻击”的会议上展示他们的发现。Dhondt和Pochat曾在去年11月的ACM计算机和通信安全(CCS)2022会议上介绍了这项工作及其随附的论文。

人们使用Strava等健身应用程序来跟踪和分享有关他们健身活动的数据，例如跑步、骑自行车或步行。在应用程序中，他们可以设定和达到健身目标，以及与朋友进行虚拟比赛或健身训练，以及其他用途。

然而，这些数据如果落入坏人之手，可能会被用来定位他们的住所或经常进行健身活动的地点，从而导致潜在的身体伤害。2017年，当研究人员透露，美军现役人员向Strava应用程序分享他们的健身活动时，Strava应用会共享秘密军事基地位置，这可能会使他们和他们的军事活动暴露给敌人，并使他们处于人身危险之中，这种情况就曝光了。军事分析家注意到，Strava有可视化地图——使用超过3万亿个单独的GPS数据点构建——具有足够的细节，可以泄露有关现役士兵所在位置的潜在敏感数据。比如在Strava的地图上，阿富汗赫尔曼德省通过演习路线展示了作战基地的布局。谷歌地图和苹果地图的卫星视图中都没有该基地。

2022年7月，Forbes曾报道，以色列网络安全研究小组FakeReporter的一份新报告显示，Strava的一项功能可能被恶意攻击组织（研究人员不确定是谁）利用，以收集以色列全国六个军事基地的以色列士兵的信息。FakeReporter的结论表明，即使是善意的用户也很难保护自己的身份，这个问题远远超过了Strava，如今位置跟踪几乎成为移动应用程序的默认设置。

隐私功能管用吗？

作为对这一启示的回应，Strava和其他健身应用程序添加了隐私功能——在Strava中称为EPZ，在其他应用程序中有类似其他名称。这些允许用户隐藏敏感位置周围的部分路线，例如他们的家或办公室，并且仅在他们离开这些定义区域后才跟踪活动。

具体来说，Strava中的EPZ是一个圆形区域，有人可以配置它来隐藏其中发生的活动痕迹。研究中涵盖的其他具有类似功能的应用程序包括 Garmin Connect、Relive、Komoot、Map My Tracks和Ride With GPS。

Dhondt和Le Pochat分别是一名自行车手和一名跑步者，他们本身也是健身应用程序的爱好者，出于个人兴趣开始了他们的调查。他们知道，理论上，Strava内的EPZ应该保护有关这些敏感位置的位置数据，以免泄露给应用程序用户或查看其活动数据的任何其他人。

但事实并非如此，他们发现。他们在研究中透露，研究人员利用活动元数据、街道网格数据和EPZ入口点位置中泄露的距离信息成功构建了网络攻击。这些结果使他们能够使用回归分析来预测用户的受保护位置，即使他们已经设置了隐私区域来隐藏它们。

“在元数据中有整个轨迹的距离值——包括应该隐藏在隐私区域内的部分，”Dhondt在接受Dark Reading采访时解释道。“隐私区内覆盖的距离已经泄露。”

他说，将这种元数据与当地地图结合使用，研究人员可以预测其他用户在哪里结束或开始他们的活动，从而预测他们的生活或工作地点。

此外，研究人员表示，攻击本身并不复杂，这意味着任何人只要拥有可以检查来自Web服务器通信的API数据的简单开发工具，就可以查看泄露的数据。

“这不像他们必须伪造API调用或改变他们与Strava通信的方式，”Dhondt说。“每当Strava绘制人跑步或骑自行车去哪里的地图时，高精度的API数据就已经在那里了。你可以使用开发者工具轻松检查网络流量。数据只需一键即可。”

验证攻击 

研究人员使用来自全球用户的数据进行了研究，并进行了实验，看看他们的攻击是否在人口稀少或人口稠密的地区都有效。研究人员说，事实证明确实如此，在只有少数房屋或其他建筑物的地区确定位置要容易得多。

此外，设置更大的EPZ会降低攻击性能和成功率，而地理上分散在稀疏街道网格中的活动会产生更好的攻击性能。“在农村或人烟稀少的地区，如果你有一个200米的隐私区，并且该区内只有几栋房屋，则更容易确定位置，”Dhondt说。

就收集和检查的数据而言，研究人员在长达一个月的时间里对全球各地的4,000名用户和140万个Strava活动进行了随机、大规模的数据抓取。他们针对Strava的结果发现，攻击发现了多达85%的EPZ的受保护位置，因此，事实上该应用程序的隐私仅保护设置，仅仅能够保护这些区域的15%的用户。

缓解和应对措施

研究人员负责任地向他们调查其应用程序的所有公司披露了他们的发现，并提供了多种解决问题的方法。然而，到目前为止，除了感谢他们的披露之外，只有Strava对研究人员做出了回应，并且两人正在与健身应用程序提供商就潜在的缓解措施进行讨论。

尽管如此，研究人员表示，这些公司似乎对应用缓解措施并不特别感兴趣，理由是如果应用建议的修复措施会降低用户体验。

“他们不愿意采纳我们的任何建议，因为他们觉得这会对用户的实用程序产生负面影响，”Dhondt说。然而，虽然这可能适用于一些提议的修复，但并非所有修复都是如此，他说。

例如，一种缓解措施要求应用程序将网络通信中使用的API中显示的数据的准确性降至最低。在Strava中，用户界面中有关行驶距离的数据以10米的精度向下舍入，隐私区域内的行驶距离以100米的精度向下舍入。然而，Le Pochat说，API中提供的这两个距离都具有0.1米的精度。

因此，“API中报告的距离的准确性越低，[攻击]的成功率就越低，”Dhondt说。

研究人员还建议，这些应用程序可以帮助用户根据他们居住的区域以及人口稠密与否选择隐私区域的大小，他们说，这是一个相对容易解决的问题。他们还建议使用非圆形、不太典型的形状来创建区域，以增加定位的难度，而Kommut应用程序已经做到了这一点。

不过，研究人员承认，公平地说，一些建议的缓解措施确实会影响应用程序的用户体验。其中包括通过从起点开始并将其添加到终点来稍微改变距离的建议，另一个建议是根据应用程序中测量的距离切断隐私区域的起点和终点，这样就没有人可以追踪用户的位置一直在他们的路线上。

“人们使用这些应用程序来跟踪他们的表现，所以他们可能不喜欢那样，”Dhondt说。“他们剥夺了这些应用程序的一些乐趣和吸引力。”

总的来说，研究人员说，Strava和其他健身应用程序提供商必须平衡这些应用程序的可用性和功能，并决定什么更重要。

“这是一个艰难的决定，你是优先考虑隐私，这会减少数据量并减少功能，还是优先考虑应用程序的功能，”Le Pochat说。“有时你必须做出权衡并放弃隐私以获得功能。”

参考资源：

1.https://www.darkreading.com/application-security/popular-fitness-apps-leak-location-data-even-when-users-set-privacy-zones

2.https://www.darkreading.com/application-security/strava-fitness-app-shares-secret-army-base-locations

3.https://www.blackhat.com/asia-23/briefings/schedule/index.html#a-run-a-day-wont-keep-the-hacker-away-inference-attacks-on-endpoint-privacy-zones-in-fitness-tracking-social-networks-30134

4.https://www.forbes.com/sites/abrambrown/2022/06/20/strava-fitness-app-israeli-mossad-data-breach-security-hack-segments/?sh=2a9f6bdc68d7

原文来源：网空闲话

“投稿联系方式：010-82992251   [email protected]”

原文始发于微信公众号（关键基础设施安全应急响应中心）：警惕！健身跟踪社交网络中的隐私数据泄露-隐私区域保护功能可能形同虚设