Kuzey Carolina Eyalet Üniversitesi Raleigh'deki araştırmacılar, Strava uygulamasının Heatmap özelliğinde kullanıcıların ev adreslerini belirlemeye yol açabilecek bir gizlilik riski keşfettiler.
Strava, dünya çapında 100 milyondan fazla kullanıcı ile popüler bir koşu arkadaşı ve fitness izleme uygulamasıdır, bu da insanların kalp atış hızlarını, aktivite detaylarını, GPS konumunu ve daha fazlasını izlemelerine yardımcı olur.
2018'de Strava, kullanıcıların patikalar bulmalarına veya sıcak noktalar bulmalarına, benzer düşünen bireyleri karşılamalarına ve oturumlarını daha kalabalık ve daha güvenli yerlerde gerçekleştirmelerine yardımcı olmak için kullanıcıların (koşucular, bisikletçiler, yürüyüşçüler) etkinliği anonim olarak toplayan "Heatmap" adlı bir özellik uyguladı.
Bununla birlikte, araştırmacıların bulduğu gibi, bu özellik, belirli kullanıcı meta verileriyle birlikte halka açık ısı haritası verilerini kullanarak kullanıcıları izleme ve anonimleştirme olasılığını açar.
Araştırmacılar tarafından atılan ilk adım, Arkansas, Ohio ve Kuzey Carolina eyaletleri için bir ay boyunca Strava Heatmap aracılığıyla halka açık olan verileri toplamaktı.
Daha sonra, sokakların yanındaki başlangıç/durdurma alanlarını tespit etmek için görüntü analizini kullandılar, bu da belirli bir evin izlenen bir aktivite kaynağına bağlı olduğunu gösterdi.
Kriterlerle eşleşen ısı haritası ekran görüntüleri seçtikten sonra, ekip openstreetmaps görüntülerini zoom seviyelerinde bireysel ikamet adreslerinin belirlenmesine yardımcı olan görüntüler.
Bir sonraki adım, belirli bir şehri konumu olarak kaydeden kullanıcıları bulmak için Strava'da kötü belgelenmiş bir arama özelliğinden yararlanan kullanıcı taramasını gerçekleştirmekti.
Heat haritasından uç noktaları ve bir kullanıcının arama işlevinden kişisel verilerini karşılaştırarak, araştırmacılar ısı haritası üzerindeki yüksek etkinlik noktalarını ve kullanıcıların ev adreslerini ilişkilendirebilir.
Kamu strava profilleri, zaman damgaları ve mesafelerle aktivite verileri içerir, bu da ısı haritası verilerindeki kalıplarla eşleşen potansiyel yolların belirlenmesini, insanları ve alan eşleşmelerini daraltmayı kolaylaştırır.
Birçok Strava kullanıcısı gerçek adlarına kaydoldukça ve hatta profil resimlerini kendi resimlerini yüklediğinden, kimlikleri ev konumlarıyla ilişkilendirmek mümkündür.
Araştırmaları için bilim adamları bulgularını seçmen kayıt verileriyle ilişkilendirdiler ve tahminlerinin yaklaşık% 37,5 doğru olduğunu buldular.
Araştırmacılar, "Daha aktif bir kullanıcı, strava ısı haritası üzerinde daha fazla ısı üretiyor ve bu nedenle daha kolay tanımlanıyor. Şekil 7, yayınlanan faaliyet sayısına göre bir eşleşmenin olasılığını göstermektedir."
Diyerek şöyle devam etti: "Analizin geri kalanı için, saldırının hedefini, veri setimiz için 308 faaliyet olan ortalama bir sayı faaliyeti yayınlayacağız."
"100 metre eşiği ve kurban 308 faaliyet yayınlayarak keşfedilme olasılığı%37,5'tir."
İlk pasif hafifletme, büyük miktarda strava ısı haritası verisi alan yoğun nüfuslu bir alanda yaşamak ve kişiye özgü izlemeyi neredeyse imkansız hale getirmektir.
Bu gizlilik problemini azaltmanın bir başka yolu, evinizden ayrıldıktan sonra veya Strava'nın Openstreetmaps'ta işaretlenmiş olduğu gibi ev konumlarında birkaç metre için bir hariç tutma oluşturmak için izlemeye başlamak olacaktır.
Araştırmacılar ayrıca, ısı haritasının kullanıcıların evlerinin etrafında veya başka yerlerde de gizlilik bölgelerini ayarlamaları için bir seçeneği desteklemesini önermektedir.
Heatmap özelliği tüm Strava uygulamalarında varsayılan olarak etkindir, ancak kullanıcılar ayarlardan çıkabilir.
Profil ayarları ile ilgili olarak, gizlilik konusunda endişeli olanlar, kullanıcı profillerini Strava uygulamasında özel tutmalıdır, bu da adları ve etkinlik verilerini ortaya çıkarmayacaktır.
BleepingComputer, makalenin bulguları ve yazılım satıcısının sabitleme planları olup olmadığı hakkında bir yorum isteyerek Strava ile iletişime geçti, ancak yayın süresine göre bir yanıt almadık.
Sextroortics, sosyal medya görüntülerinizden AI çıplakları yapıyor
Amazon, Ring, Alexa Gizlilik İhlalleri üzerinden 30 milyon dolar para cezasıyla karşı karşıya
Sıcak Piksel Saldırısı Kontrolleri CPU Sıcaklığı, Verileri Çalmak İçin Güç Değişiklikleri
Apple, 2022'de gizlilik, güvenlik sorunları için 1.7 milyon uygulamayı engelledi
Saldırılara karşı savunmasız 5 milyon indirme ile ebeveyn kontrol uygulaması
Kaynak: Bleeping Computer