前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >超火爆的健身APP正大量泄露用户敏感信息

超火爆的健身APP正大量泄露用户敏感信息

作者头像
FB客服
发布2023-08-03 19:17:20
2710
发布2023-08-03 19:17:20
举报
文章被收录于专栏:FreeBuf

据BleepingComputer 6月11日消息,美国北卡罗来纳州立大学罗利分校的研究人员发现 Strava 应用程序的热图功能存在隐私风险,可能导致攻击者识别出用户的家庭住址。

Strava 是一款流行的跑步伴侣和健身追踪应用程序,在全球拥有超过 1 亿用户,可帮助人们追踪心率、活动详情、GPS 位置等。2018 年,Strava 实施了一项名为“热图”的功能,该功能匿名汇总用户的活动区域,以帮助用户寻找热门运动场地及路线。

但研究人员发现,此功能虽然使用了公开可用的热图数据,但结合特定用户的元数据可能会泄露特定用户行踪,甚至让用户真实身份得到暴露。

研究人员先是搜集了Strava 一个月内阿肯色州、俄亥俄州和北卡罗来纳州的热图数据,接着用图像分析来检测街道旁边的开始和停止区域,以此表明特定房屋与跟踪活动的关联性。

房子附近的活动热度

在选择符合标准的热图屏幕截图后,研究人员以能够识别个人住所地址的缩放级别覆盖 OpenStreetMaps 图像,并利用Strava上的搜索功能爬行用户信息,以找到将某一特定城市作为其所在地的用户。

覆盖住所位置

通过比较热图中的端点和搜索功能中用户的个人信息,研究人员可以将热图上的高频活动点与用户的家庭住址相关联。公开的 Strava 配置文件包含带有时间戳和距离的活动数据,从而更容易识别与热图数据中的模式相匹配的活动路线,从而缩小人员和区域匹配范围。

可被利用的攻击逻辑和数据概述

由于许多 Strava 用户使用真实姓名注册,甚至上传了个人的真实资料照片,因此将身份与家庭地址相关联是可能的。

在研究中,研究人员将他们的发现与选民登记数据相关联,发现其预测准确率约为 37.5%,且用户越活跃,准确率就越高。

加强 Strava 隐私

要想避免暴露个人住所,最理想的的状态是住在人口稠密的地区,该地区会产生大量 Strava 热图数据,这使得几乎不可能进行针对特定人员的跟踪。否则,建议用户在离开家一段距离之后再开启热图功能,或者让 Strava 为 OpenStreetMaps 中标记的家庭位置周围几米的热图创建排除项。

研究人员还建议,热图应该支持用户选择在他们的住所周围或其他地方设置隐私区域,目前情况下,启用Strava后热图功能默认处于活动状态,需要用户自行通过设置选择退出。

BleepingComputer 已联系 Strava,要求对研究人员的发现以及软件供应商是否有任何修复计划发表评论,但到目前尚未收到回复。

参考资料

https://github.com/eronnen/procmon-parser/

https://www.bleepingcomputer.com/news/security/strava-heatmap-feature-can-be-abused-to-find-home-addresses/

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-06-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 要想避免暴露个人住所,最理想的的状态是住在人口稠密的地区,该地区会产生大量 Strava 热图数据,这使得几乎不可能进行针对特定人员的跟踪。否则,建议用户在离开家一段距离之后再开启热图功能,或者让 Strava 为 OpenStreetMaps 中标记的家庭位置周围几米的热图创建排除项。
相关产品与服务
图数据库 KonisGraph
图数据库 KonisGraph(TencentDB for KonisGraph)是一种云端图数据库服务,基于腾讯在海量图数据上的实践经验,提供一站式海量图数据存储、管理、实时查询、计算、可视化分析能力;KonisGraph 支持属性图模型和 TinkerPop Gremlin 查询语言,能够帮助用户快速完成对图数据的建模、查询和可视化分析。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档