Популярное приложение для бега Strava раскрывает домашние адреса пользователей

Исследователи из Университета штата Северная Каролина Роли (North Carolina State University Raleigh) с помощью функции тепловой карты приложения Strava смогли идентифицировать домашние адреса пользователей.

Strava — это популярный помощник для бега и фитнес-трекер, которым пользуются более 100 млн. пользователей по всему миру. Приложение помогает людям отслеживать частоту сердечных сокращений, данные об активности, местоположение по GPS и многое другое.

В 2018 году Strava реализовала функцию под названием «тепловая карта» (heatmap), которая анонимно объединяет активность пользователей (бегунов, велосипедистов, туристов), чтобы помочь пользователям находить маршруты или точки для занятий спортом, встречаться с единомышленниками и проводить свои занятия в более людных и безопасных местах.

Однако, как обнаружили исследователи, функция даёт возможность отслеживания и деанонимизации пользователей с использованием общедоступных данных тепловой карты в сочетании с конкретными метаданными пользователей.

Местоположение домов пользователей

Сначала исследовали в течение месяца собирали общедоступные данные через тепловую карту Strava для штатов Арканзас, Огайо и Северная Каролина. Затем эксперты проанализировали изображения, чтобы определить области начала/остановки рядом с улицами, указывая на то, что конкретный дом связан с источником отслеживаемой активности.

Тепловая карта активности пользователей около дома

Выбрав снимки экрана с тепловыми картами, соответствующие критериям, команда наложила изображения OpenStreetMaps с уровнями масштабирования, которые помогли идентифицировать отдельные адреса проживания.

Наложение карты показало локации домов пользователей

Следующим шагом было сканирование пользователей с использованием функции поиска в Strava. Это нужно для того, чтобы найти пользователей, которые указали определенный город в качестве своего местоположения.

Сравнивая конечные точки с тепловой карты и личные данные пользователя из функции поиска, исследователи смогли сопоставить точки высокой активности на тепловой карте с домашними адресами пользователей.

Общедоступные профили Strava содержат данные об активности с отметками времени и расстояниями, что упрощает определение потенциальных маршрутов, которые соответствуют шаблонам в данных тепловой карты, сужая количество совпадений людей и районов.

Логика атаки и обзор данных

Поскольку многие пользователи Strava регистрируются под своими настоящими именами и даже загружают свои фотографии в профиль, становится возможным соотнесение личности с домашним местоположением.

В своем исследовании ученые сопоставили свои выводы с данными регистрации пользователей и обнаружили, что точность обнаружения местоположения составляет около 37,5%.

Стоит отметить, что более активный пользователь производит больше тепла на тепловой карте Strava, и поэтому его легче идентифицировать. С порогом в 100 метров и публикацией жертвой 308 своих действий вероятность того, что ее обнаружат, составляет 37,5%.

Повышение конфиденциальности Strava

Для защиты от подобной атаки специалисты порекомендовали жить в густонаселенном районе, который получает огромное количество данных тепловой карты Strava, что делает отслеживание конкретных людей практически невозможным.

Исследователи также предлагают, чтобы тепловая карта поддерживала возможность устанавливать зоны конфиденциальности вокруг своих домов или в других местах. Функция тепловой карты активна по умолчанию во всех приложениях Strava, но пользователи могут отключить ее в настройках.

Это не первый случай, когда приложение Strava раскрывало пользовательские данные. В 2018 году сам разработчик фитнес-приложения Strava раскрыл конфиденциальные данные о расположении разведывательных постов и военных баз, а также их служащих по всему миру. Информация была опубликована на визуализированной карте данных, отображающей активность всех пользователей приложения.

Кроме того, ранее обнаружилось, что Strava способно раскрывать персональные данные пользователей незнакомцам, находящимся поблизости. Утечка пользовательской информации была вызвана настройками конфиденциальности по умолчанию в функции приложения.